使用 Java 验证 Lotus Forms XML 数字签名

核心提示：Lotus Forms XML 数字签名简介本文关注在不依赖 Lotus Forms API 的情况下，使用 JSR 105 API 对签名的 Lotus Forms 文档进行验证（可下载源代码，使用 Java 验证 Lotus Forms XML 数字签名，见 下载 小节），这种方法简化了使用标准 Java&trad

Lotus Forms XML 数字签名简介

本文关注在不依赖 Lotus Forms API 的情况下，使用 JSR 105 API 对签名的 Lotus Forms 文档进行验证（可下载源代码，见 下载 小节）。这种方法简化了使用标准 Java™ API 调用和来自其他供应商的 XML 签名实现，将从其他供应商购买的产品与 Lotus Forms 集成的过程。

对于本文而言，表单是指包含使用 Extensible Forms Description Language (XFDL) 描述的标记的 XML 文档，Extensible Forms Description Language (XFDL) 是用于描述 Lotus Forms 文档的、使用标准 XML 格式的词汇表。在 XFDL 表单内，用户界面控件称为项，项使用 XML 元素和属性编码。项通常被绑定到 XForms 实例中的数据，并且被组织为一个或多个可视页面。

XML 签名被包含在 XFDL 文档内，因此它们是被封装的签名。根据 Model-View-Controller (MVC) 概念，一个 XML 数字签名属于 XForms 实例中的数据模型的一部分，因为数字签名的生成是一种信息创建行为，由具有私有密匙的用户完成。生成签名后，对 XFDL 文档的任何修改都将造成签名验证失败。XML 签名还可以有选择地忽略被签名文档的各部分，这样多步骤工作流就可以对这些被忽略的部分执行操作，并且不会影响到数字签名的有效性。这种安排的两个优点就是允许对表单使用多步骤签名，以及签名之间可以彼此重叠。

清单 1 展示了 XForms 模型中的 XML 签名的例子。注意 xforms、ds 和 dsxp 的名称空间 URI 在表单的 <XFDL> 文档元素中定义，这里并没有显示。完整的表单示例可以在 下载 小节找到。

清单 1. 包含未进行签名的 XML 签名的 XForms 实例
<xforms:model>　
　<xforms:instance　xmlns=""　id="Generated">　
　　<data>　
　　　<page1>　
　　　　<customer>　
　　　　　<firstname1>John</firstname1>　
　　　　　<middlename1>M</middlename1>　
　　　　　<lastname1>Smith</lastname1>　
　　　　　<ssn1>123456789</ssn1>　
　　　　　<streetaddress1>1000　Main　Street</streetaddress1>　
　　　　　<city1>La</city1>　
　　　　　<state>California</state>　
　　　　　<zipcode>10080</zipcode>　
　　　　　<gender1>M</gender1>　
　　　　　<dateofbirth1>1980-01-02</dateofbirth1>　
　　　　　<workphone1>1001234567</workphone1>　
　　　　　<homephone1>1001236789</homephone1>　
　　　　</customer>　
　　　　<signature1>　
　　　　　<ds:Signature>　
　　　　　　<ds:SignedInfo>　
　　　　　　<ds:CanonicalizationMethod　Algorithm="http://www.w3.org/TR/2001/　
　　　　　　REC-xml-c14n-20010315"></ds:CanonicalizationMethod>　
　　　　　　<ds:SignatureMethod　Algorithm="http://www.w3.org/2000/09/xmldsig#　
　　　　　　rsa-sha1"></ds:SignatureMethod>　
　　　　　　<ds:Reference>　
　　　　　　　<ds:Transforms>　
　　　　　　　<ds:Transform　Algorithm="http://www.w3.org/2002/06/　
　　　　　　　　xmldsig-filter2">　
　　　　　　　　　<dsxp:XPath　Filter="subtract">/xfdl:XFDL/xfdl:globalpage/　
　　　　　　　　　xfdl:global/xfdl:xformsmodels/xforms:model[1]/　
　　　　　　　　　xforms:instance[@id="Generated"]/data/page1/signature1/　
　　　　　　　　　ds:Signature　
　　　　　　　　　</dsxp:XPath>　
　　　　　　　　　</ds:Transform>　
　　　　　　　　　</ds:Transforms>　
　　　　　　　　　<ds:DigestMethod　Algorithm="http://www.w3.org/2000/09/xmldsig#　
　　　　　　　　　　sha1"></ds:DigestMethod>　
　　　　　　　　　　<ds:DigestValue></ds:DigestValue>　
　　　　　　　　　</ds:Reference>　
　　　　　　　　　<ds:Reference　URI="">　
　　　　　　　　　　<ds:Transforms>　
　　　　　　　　　　　<ds:Transform　Algorithm="http://www.w3.org/2002/06/　
　　　　　　　　　　　　xmldsig-filter2">　
　　　　　　　　　　　　　<dsxp:XPath　Filter="intersect">here()/ancestor::　
　　　　　　　　　　　　　ds:Signature[1]/ds:Object[sigmeta:metadata]</dsxp:XPath>　
　　　　　　　　　　　　</ds:Transform>　
　　　　　　　　</ds:Transforms>　
　　　　　　　　<ds:DigestMethod　Algorithm="http://www.w3.org/2000/09/xmldsig#　
　　　　　　　　sha1"></ds:DigestMethod>　
　　　　　　　　<ds:DigestValue></ds:DigestValue>　
　　　　　　　</ds:Reference>　
　　　　　　　</ds:SignedInfo>　
　　　　　　　<ds:SignatureValue></ds:SignatureValue>　
　　　　　　　<ds:Object>　
　　　　　　　　<sigmeta:metadata>　
　　　　　　　　　<sigmeta:timestamp>　
　　　　　　　　　　<sigmeta:signtime></sigmeta:signtime>　
　　　　　　　　　　<sigmeta:dst></sigmeta:dst>　
　　　　　　　　　　<sigmeta:date></sigmeta:date>　
　　　　　　　　　</sigmeta:timestamp>　
　　　　　　　　</sigmeta:metadata>　
　　　　　　　</ds:Object>　
　　　　　　</ds:Signature>　
　　　　　</signature1>　
　　　　</page1>　
　　</data>　
　</xforms:instance>　
</xforms:model>