我们对XML-sig有疑问，需要有关可选元素以及一些规范化和转换内容的详细信息。我们正在为一个非常小的XML语法有效负载编写规范，该有效负载将进入媒体文件的元数据，并且需要通过密码签名来实现。我们认为我们应该使用XML-sig规范，而不是重新发明轮子，但我认为其中大部分对于我们所需的功能来说是过大的，因此我们希望与了解详细信息的人进行更多的信息/对话。

具体来说，如果XML非常基本，没有用于格式设置的选项卡并且特定于我们的需求，那么我们是否需要关心转换还是规范化？

解决方案

回答

我们能否让我们知道我们正在使用的技术，因为这些东西周围有一些吸引人的地方，还有一些捷径...即WSE2是复杂的野兽，我不喜欢出错！

我不喜欢开发人员这样做，并且像SSL Accelorates一样有WSE2加速器，因为加密处理的成本很高，从常规代码和开发领域将其从流程中删除是最好的。

如果这是选择，请尝试看看此ForumSystems

回答

如果存在不执行XML签名，而是仅将XML视为字节流并对其进行签名的选项，请执行此操作。它将更易于实现，更易于理解，更稳定(没有规范，转换，策略等)，并且速度更快。

如果我们绝对必须拥有XML DSIG(不幸的是，我们中的某些人必须如此)，这几天当然有可能，但是有很多警告。我们需要良好的库支持，而Java在JDK 1.6中是开箱即用的，我不熟悉其他平台。我们必须测试与签名XML的接收端之间的互操作性，尤其是当它们可能位于其他平台上时。

请务必阅读"为什么XML安全性被破坏"，它基本上涵盖了有关XML Canonicalization恐怖的所有内容，并提供了一些替代方法的指导。

回答

如果需要在代码中签名XML，请检查XMLBlackbox，它为我们提供规范化和所有其他转换。 XMLBlackbox还支持XAdES。