如何用Java给XML文档添加数字签名 XMLSignature API

Java中使用XMLSignature API为XML文档添加数字签名需严格遵循W3C规范，核心步骤包括：准备PKCS#12密钥对、构造SignedInfo指定SHA-256/RSA-SHA256等算法、设置Exclusive规范化、插入ds:Signature节点并签名，最后用DOMValidateContext验证。

Java中使用XMLSignature API为XML文档添加数字签名，核心是通过javax.xml.crypto.dsig包中的类构建签名对象、选择签名算法、引用待签名数据，并用私钥完成签名。整个过程需严格遵循W3C XML Signature规范（如http://www.w3.org/2000/09/xmldsig#），否则生成的签名可能无法被其他系统（如SAML服务、WS-Security网关）正确验证。

准备密钥对和证书

签名前必须有有效的密钥对。推荐使用PKCS#12格式的密钥库（.p12或.pfx），它同时包含私钥和对应证书链：

• 可用keytool -genkeypair生成，或用OpenSSL导出已有密钥
• 加载时用KeyStore读取，通过别名获取PrivateKey和X509Certificate
• 务必确保私钥不暴露、证书未过期、且公钥能被验签方信任（例如已导入对方信任库）

构造SignedInfo并指定签名算法

SignedInfo是签名的核心元数据，定义了摘要算法、签名算法和引用规则：

• 常用摘要算法：SHA-256（对应URI http://www.w3.org/2001/04/xmlenc#sha256）
• 常用签名算法：RSA-SHA256（URI http://www.w3.org/2001/04/xmldsig-more#rsa-sha256）或ECDSA-SHA256
• 每个Reference需设置Transforms（如CanonicalizationMethod.EXCLUSIVE）以保证规范化一致，避免因空白、命名空间前缀差异导致验签失败

绑定签名到XML文档并生成Signature元素

签名不是覆盖原文，而是在XML中插入<signature></signature>节点（通常放在<signature></signature>命名空间下）：

Pixelfox AI

多功能AI图像编辑工具

2108

查看详情

立即学习“Java免费学习笔记（深入）”；

• 用DOMSignContext将XMLSignature对象绑定到目标Document的某个位置（例如根元素末尾或特定父节点）
• 调用sign()触发计算：对每个Reference的URI定位内容 → 规范化 → 摘要 → 签名运算
• 生成的<signaturevalue></signaturevalue>是Base64编码的原始签名字节；<x509data></x509data>可嵌入证书用于验签方提取公钥

验证签名是否有效（调试必备）

签名后立即用XMLSignatureFactory.newXMLSignature()配合DOMValidateContext验证，可快速发现常见问题：

• URI引用路径错误（如#id但目标元素无Id属性或未声明xml:id）
• 规范化方式不匹配（签名用Exclusive，验签时误用Inclusive）
• 证书链不可信或时间不在有效期
• 注意：验证时需提供公钥或让KeySelector从<x509data></x509data>自动提取证书

以上就是如何用Java给XML文档添加数字签名 XMLSignature API的详细内容，更多请关注php中文网其它相关文章！