如何用Java给XML文档添加数字签名 XMLSignature API

Java中使用XMLSignature API为XML文档添加数字签名需严格遵循W3C规范，核心步骤包括：准备PKCS#12密钥对、构造SignedInfo指定SHA-256/RSA-SHA256等算法、设置Exclusive规范化、插入ds:Signature节点并签名，最后用DOMValidateContext验证。

Java中使用XMLSignature API为XML文档添加数字签名，核心是通过javax.xml.crypto.dsig包中的类构建签名对象、选择签名算法、引用待签名数据，并用私钥完成签名。整个过程需严格遵循W3C XML Signature规范（如http://www.w3.org/2000/09/xmldsig#），否则生成的签名可能无法被其他系统（如SAML服务、WS-Security网关）正确验证。

准备密钥对和证书

签名前必须有有效的密钥对。推荐使用PKCS#12格式的密钥库（.p12或.pfx），它同时包含私钥和对应证书链：

• 可用keytool -genkeypair生成，或用OpenSSL导出已有密钥
• 加载时用KeyStore读取，通过别名获取PrivateKey和X509Certificate
• 务必确保私钥不暴露、证书未过期、且公钥能被验签方信任（例如已导入对方信任库）

构造SignedInfo并指定签名算法

SignedInfo是签名的核心元数据，定义了摘要算法、签名算法和引用规则：

• 常用摘要算法：SHA-256（对应URI http://www.w3.org/2001/04/xmlenc#sha256）
• 常用签名算法：RSA-SHA256（URI http://www.w3.org/2001/04/xmldsig-more#rsa-sha256）或ECDSA-SHA256
• 每个Reference需设置Transforms（如CanonicalizationMethod.EXCLUSIVE）以保证规范化一致，避免因空白、命名空间前缀差异导致验签失败

绑定签名到XML文档并生成Signature元素

签名不是覆盖原文，而是在XML中插入<signature></signature>节点（通常放在<signature></signature>命名空间下）：

标签： java 编码 字节 ssl ai 常见问题 c# crypto