国产Linux下AI Agent生产部署:Hermes+OpenClaw+飞书全链路实战
2026/6/24 22:03:37
1. 项目概述:从“能用”到“好用”的验签之路
最近在重构一个支付网关的对接模块,又双叒叕遇到了签名验签的问题。这次对接方要求使用SHA256withRSA/PSS,而不是我们团队更熟悉的SHA256withRSA。本以为只是换个算法名的小事,结果一脚踩进了坑里,从Invalid Signature到Signature length not correct,各种错误层出不穷。折腾了大半天,才把这块硬骨头啃下来。今天就把这次踩坑和填坑的经历完整记录下来,特别是Java标准库(JCA)和BouncyCastle(BC)两种实现路径的差异、那些官方文档里语焉不详的参数,以及如何从一堆模糊的错误信息里找到真正的病因。如果你也在为PSS验签头疼,希望这篇笔记能帮你少走弯路。
简单说,SHA256withRSA/PSS是一种基于RSA公钥密码体系的数字签名方案,它比传统的PKCS#1 v1.5填充模式(也就是我们常说的SHA256withRSA)在理论上具有更强的安全性,能更好地抵御某些类型的攻击。但在Java里实现它,尤其是确保与不同系统(比如用C++、Go或者Python写的服务端)的兼容性时,细节决定成败。一个盐值长度(Salt Length)的参数设错,或者一个摘要算法没对上,都可能导致验签失败。
2. 核心概念辨析:PSS不是简单的“另一种填充”
在开始写代码之前,我们必须先搞清楚SHA256withRSA/PSS到底是个什么东西。很多人,包括最初的我,都把它简单理解为“把SHA256withRSA换成SHA256withRSA/PSS就行了”。这种想法是灾难的开始。
2.1 PSS与PKCS#1 v1.5的本质区别
传统的SHA256withRSA使用的是PKCS#1 v1.5的填充方案。它的签名过程大致是:先对原始消息做SHA256哈希,得到一个固定长度的摘要;然后按照v1.5的规则,在这个摘要前面加上一些固定的数据块(比如0x00 0x01 0xff... 0x00和一个算法标识符),构造出一个和RSA密钥模长一样长的数据块;最后用私钥对这个数据块进行加密(即签名)。验签时,用公钥解密签名,得到数据块,再解析出其中的摘要,与自己计算的摘要对比。
而PSS(Probabilistic Signature Scheme,概率签名方案)则是一种更现代的、可证明安全的签名方案。它的核心特点是引入了随机性。每次对同一条消息签名,由于盐值(Salt)的随机加入,产生的签名结果都是不同的。这带来了一个巨大的好处:即使攻击者收集了大量签名,也难以从中分析出私钥的信息或构造出伪造签名。相比之下,v1.5方案是确定性的,对同一消息的签名永远相同。
2.2 PSS签名验签流程拆解
理解流程对调试至关重要。PSS的签名过程比v1.5复杂:
编码(Encoding):
- 对消息计算哈希(如SHA256),得到消息摘要(M’)。
- 生成一个随机盐(Salt),盐的长度是一个关键参数。
- 将盐和消息摘要一起,再经过一次哈希(通常是同一种哈希,如SHA256),得到H。
- 构造一个数据块(DB),它由一串固定的填充(Padding)、盐的哈希(或其他派生值)以及盐本身组成。
- 将H和DB进行异或掩码运算(Masking),这个掩码是由H通过一个叫MGF1(掩码生成函数)的函数生成的。这一步是PSS安全性的核心之一。
- 最终,将处理后的H和DB拼接起来,前面加上固定的字节,形成编码后的消息(EM)。
签名(Signing):
- 将上一步得到的编码消息(EM)作为一个大整数,使用RSA私钥进行“解密”运算(即传统的RSA私钥操作),得到的结果就是数字签名。
验签过程则是逆过程:
- 用RSA公钥对签名进行“加密”运算,恢复出编码消息(EM’)。
- 对EM’进行解析,分离出H’和DB’。
- 根据DB’恢复出盐(Salt’)。
- 用收到的原始消息、恢复出的盐,重新执行一遍编码过程的前几步,计算出预期的H。
- 比较计算出的H与从EM’中解析出的H’是否一致。一致则验签通过。
可以看到,整个过程中涉及多个参数:哈希算法(Hash)、掩码生成函数(MGF)、MGF使用的哈希算法(MGF1 Hash)、盐的长度(Salt Length)。这些参数必须在签名方和验签方完全一致,否则必然失败。而很多对接文档,往往只写一个SHA256withRSA/PSS,这些细节参数全靠猜,这就是痛苦的根源。
3. Java标准库(JCA)实现方案与深坑
Java自带了SHA256withRSA/PSS的支持,主要通过java.security.Signature类。看起来很简单,但魔鬼在细节里。
3.1 基础用法与看似简单的陷阱
最基础的调用方式如下:
import java.security.*; import java.util.Base64; public class JcaPSSVerify { public static boolean verifyWithJCA(String publicKeyPem, String message, String signatureBase64) throws Exception { // 1. 加载公钥 (这里假设是PEM格式,需要先去掉头尾,解码Base64) String publicKeyContent = publicKeyPem.replace("-----BEGIN PUBLIC KEY-----", "") .replace("-----END PUBLIC KEY-----", "") .replaceAll("\\s", ""); byte[] publicKeyBytes = Base64.getDecoder().decode(publicKeyContent); KeyFactory keyFactory = KeyFactory.getInstance("RSA"); PublicKey publicKey = keyFactory.generatePublic(new X509EncodedKeySpec(publicKeyBytes)); // 2. 初始化Signature对象进行验签 Signature verifier = Signature.getInstance("SHA256withRSA/PSS"); verifier.initVerify(publicKey); verifier.update(message.getBytes(StandardCharsets.UTF_8)); // 注意编码一致性! byte[] signatureToVerify = Base64.getDecoder().decode(signatureBase64); return verifier.verify(signatureToVerify); } }这段代码能跑,但非常脆弱。它使用了JCA默认的PSS参数。在Oracle JDK 8或OpenJDK 8的早期版本中,默认参数可能是:SHA-256作为哈希和MGF1哈希,盐长度为20字节(等于SHA-1的输出长度,而不是SHA-256的32字节!)。这在很多场景下会与对接方不匹配。
注意:消息的编码(
message.getBytes())是另一个隐形杀手。如果签名方是对消息的UTF-8字节进行签名,而验签方用了平台默认编码(比如Windows的GBK),那么即使密钥和算法参数完全正确,验签也必定失败。务必与对接方确认消息的字节表示形式。
3.2 关键参数(PSSParameterSpec)的显式设置
为了确保兼容性,必须显式地设置PSS参数。这是避免大多数问题的关键一步。
import java.security.spec.PSSParameterSpec; public class JcaPSSVerifyExplicit { public static boolean verifyExplicit(String publicKeyPem, String message, String signatureBase64) throws Exception { // ... 加载公钥的代码同上 ... Signature verifier = Signature.getInstance("SHA256withRSA/PSS"); // !!!核心:显式定义PSS参数 !!! PSSParameterSpec pssSpec = new PSSParameterSpec( "SHA-256", // 消息摘要算法 "MGF1", // 掩码生成函数,目前标准只有MGF1 MGF1ParameterSpec.SHA256, // MGF1函数使用的摘要算法 32, // 盐的长度(字节)。关键参数!常见值:0, 20, 32, -1 (自动,等于摘要长度), -2 (最大可能) PSSParameterSpec.TRAILER_FIELD_BC // 尾部字段常量,通常就是这个值 ); verifier.setParameter(pssSpec); // JDK 8以后需要这样设置 // 在JDK 11+,也可以在getInstance时指定:Signature.getInstance("RSASSA-PSS") verifier.initVerify(publicKey); verifier.update(message.getBytes(StandardCharsets.UTF_8)); return verifier.verify(Base64.getDecoder().decode(signatureBase64)); } }盐长度(Salt Length)是这个参数里最最容易出错的地方:
- 32:这是最符合直觉的。因为用的是SHA-256,摘要长度是32字节,所以盐也设为32字节。很多现代系统(如Google的某些服务)默认使用这个值。
- 20:历史遗留原因。因为PSS标准早期常与SHA-1配对,SHA-1摘要长20字节。一些老系统或遵循旧RFC的默认值可能是20。
- 0:表示不使用盐。这严重削弱了PSS的安全性,使其退化为确定性签名,但有些旧的或追求极简实现的系统可能会用。
- -1:表示自动设置为使用的摘要算法的输出长度(即SHA-256对应32)。这是比较推荐的设置,但需要确认JDK实现和对接方是否都如此理解。
- -2:表示使用最大可能的盐长度(
密钥模长 - 摘要长度 - 2)。这能提供最高的安全性,但同样需要双方约定。
实操心得:90%的Invalid Signature错误,都源于盐长度不匹配。我的经验是,首先尝试32。如果失败,立刻联系对接方索要明确的参数说明。如果对方也说不清,那就需要“盲测”:用他们的公钥和一段已知的(消息,签名)对,写个循环脚本,分别用盐长20、32、0、-1、-2去验签,哪个成功就用哪个。这个过程虽然笨,但往往是最快的解决方法。
3.3 JCA方案的局限性
即便正确设置了参数,JCA方案在某些场景下依然可能力不从心:
- 算法名称兼容性:在JDK 8中,
Signature.getInstance("SHA256withRSA/PSS")是标准写法。但在JDK 11+,更推荐使用Signature.getInstance("RSASSA-PSS"),然后通过PSSParameterSpec设置所有细节。如果代码需要跨JDK版本,这里可能会有兼容性问题。 - “黑盒”操作:JCA的
Signature类封装了所有操作,当验签失败时,你只能得到一个false或者SignatureException,很难知道具体是哪一步出的错(是编码问题?盐长度不对?还是MGF不匹配?)。调试起来像盲人摸象。 - 默认提供者行为差异:不同的JDK提供商(SunJCE, OpenJCE等)或不同版本,其默认PSS参数可能不同。这会导致“在我本地是好用的,上了测试环境就失败”的经典问题。
4. BouncyCastle(BC)实现方案:更灵活,更透明
当JCA方案搞不定,或者你需要更底层的控制、更清晰的错误信息时,BouncyCastle这个强大的第三方加密库就是救星。它提供了更丰富的API和更透明的操作过程。
4.1 引入BouncyCastle依赖
首先需要在项目中加入BC依赖。以Maven为例:
<dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk18on</artifactId> <version>1.78</version> <!-- 使用当时最新稳定版 --> </dependency>在使用前,需要将BC注册为安全提供者(可以动态注册,也可以静态配置在java.security文件里):
import org.bouncycastle.jce.provider.BouncyCastleProvider; Security.addProvider(new BouncyCastleProvider());4.2 使用BC进行PSS验签
BC库提供了两种方式:使用JCA风格的Signature类(但由BC提供实现),或者使用其更底层的PSSSigner/RSADigestSigner类。这里展示更接近底层、更清晰的一种方式:
import org.bouncycastle.crypto.Digest; import org.bouncycastle.crypto.digests.SHA256Digest; import org.bouncycastle.crypto.engines.RSAEngine; import org.bouncycastle.crypto.params.RSAKeyParameters; import org.bouncycastle.crypto.signers.PSSSigner; import org.bouncycastle.asn1.x509.SubjectPublicKeyInfo; import org.bouncycastle.crypto.util.PublicKeyFactory; public class BCPSSVerify { public static boolean verifyWithBC(String publicKeyPem, String message, String signatureBase64) throws Exception { // 1. 使用BC解析PEM公钥(更强大,支持更多格式) PEMParser pemParser = new PEMParser(new StringReader(publicKeyPem)); Object obj = pemParser.readObject(); SubjectPublicKeyInfo pubKeyInfo = (SubjectPublicKeyInfo) obj; RSAKeyParameters publicKey = (RSAKeyParameters) PublicKeyFactory.createKey(pubKeyInfo); // 2. 创建PSSSigner Digest digest = new SHA256Digest(); // 关键:创建PSSSigner,并明确指定所有参数 PSSSigner verifier = new PSSSigner( new RSAEngine(), digest, // 消息摘要算法 digest, // MGF1使用的摘要算法(通常与消息摘要相同) 32 // 盐长度 ); // PSSSigner内部默认使用TrailerField.BC,与JCA的TRAILER_FIELD_BC对应 // 3. 初始化(用于验签) verifier.init(false, publicKey); // false 表示验签模式 // 4. 更新消息 byte[] messageBytes = message.getBytes(StandardCharsets.UTF_8); verifier.update(messageBytes, 0, messageBytes.length); // 5. 验证签名 byte[] signatureBytes = Base64.getDecoder().decode(signatureBase64); return verifier.verifySignature(signatureBytes); } }使用BC的PSSSigner,我们可以清晰地看到每一个组件:RSA引擎、摘要算法、MGF摘要算法、盐长度。这种显式性对于理解和调试非常有帮助。
4.3 BC方案的优势与调试技巧
BC方案最大的优势在于透明度和灵活性。
- 更详细的异常信息:虽然
verifySignature也返回布尔值,但BC内部有更丰富的状态。你可以通过继承或包装PSSSigner,在关键步骤(如编码后)打印中间结果(EM),与对接方提供的中间结果对比,快速定位是盐的问题还是掩码计算的问题。 - 支持非标准参数:有些“非标”的系统可能会使用奇怪的组合,比如SHA256做哈希,但MGF1用SHA1。JCA的
PSSParameterSpec可能无法直接表达这种组合(MGF1ParameterSpec通常只接受标准摘要名),而BC在构造PSSSigner时直接传入两个Digest对象,可以轻松实现。 - 独立的组件:你可以分别测试RSA引擎、摘要计算、MGF1函数,更容易进行单元测试和故障隔离。
调试技巧实录:当验签失败时,我常用的BC调试方法是“重放”签名过程。
- 从对接方获取一条已知的、能验签通过的(原始消息,签名)对。如果没有,让他们提供一条测试用例。
- 在验签代码中,在调用
verifier.verifySignature之前,插入代码,利用反射或自定义类,获取PSSSigner内部计算出的“预期编码消息(EM)”。 - 同时,用对接方提供的公钥和签名,本地模拟“解签名”:即用RSA公钥对签名进行加密运算(
RSAEngine.processBlock),得到对方生成的“实际编码消息(EM')”。 - 对比“预期EM”和“实际EM'”。如果两者不同,则说明是编码过程的问题(盐长、MGF等参数不对)。如果两者相同,但验签还是不通过,那可能是消息字节或最终比较逻辑的问题,但这种情况极少。 通过对比这两个字节数组,你能精确地知道是从第几个字节开始出现差异,从而极大缩小排查范围。这个方法帮我解决了好几次与异构系统对接的疑难杂症。
5. 常见问题排查与实战解决方案
把理论和代码过了一遍,现在来看看实战中最常遇到的几个“拦路虎”及其解决方法。
5.1 错误类型与根因分析速查表
| 错误现象或异常信息 | 最可能的根因 | 排查步骤与解决方案 |
|---|---|---|
SignatureException: Signature length not correct或Invalid signature encoding | 1. 签名本身Base64解码错误。 2. 使用的公钥与签名私钥不配对。 3. RSA密钥长度不匹配(例如签名是用2048位密钥生成的,但你用了4096位的公钥去验)。 | 1. 检查签名字符串,确保是标准的、无换行的Base64,并正确解码。 2.绝对确认你使用的公钥与生成签名的私钥是配对的。这是最低级也最致命的错误。 3. 确认密钥模数长度。可以用在线工具或代码加载密钥后打印其 modulus.bitLength()。 |
验签方法返回false,无异常 | 参数不匹配。这是PSS验签最常见的问题。 | 1.首要怀疑盐长度。依次尝试32, 20, 0, -1。 2. 确认哈希算法。对方说是SHA256,但会不会用了SHA1? 3. 确认MGF算法。99.9%是MGF1,但MGF1用的哈希算法是否与主哈希一致? 4. 消息编码。确保双方对“消息”的字节定义完全一致(UTF-8? ASCII? 是否包含BOM?)。 |
InvalidKeyException | 公钥格式错误或类型不匹配。 | 1. 检查PEM格式是否正确,头尾标记是否完整,中间内容是否为纯Base64。 2. 确认你加载的是 RSAPublicKey,而不是DSAPublicKey等。3. 尝试使用BouncyCastle的 PEMParser来加载密钥,它比JCA的KeyFactory更健壮。 |
在JDK 11+上使用setParameter(PSSParameterSpec)抛出InvalidAlgorithmParameterException | JDK的默认Provider对PSS参数的支持或默认值在不同版本间有变化。 | 1. 尝试使用算法名"RSASSA-PSS"来获取Signature实例:Signature.getInstance("RSASSA-PSS")。2. 在调用 initVerify之前设置参数。3. 考虑统一使用BouncyCastle Provider来消除JDK版本差异。 |
| 与某些系统(如OpenSSL命令行)验签成功,与另一些系统失败 | 不同系统对PSS“尾部字段(Trailer Field)”的默认值可能不同。 | JCA和BC默认使用TrailerField.BC(值为0xBC)。这是标准的。但有些极老的或非标实现可能用0x01。在BC中,可以通过PSSSigner的构造函数指定,但这种情况非常罕见。 |
5.2 消息编码:一个被忽视的“一致性杀手”
我特别想强调消息编码问题。在数字签名的世界里,签名的对象不是字符串,而是字节数组。"Hello World"这个字符串,在UTF-8、GBK、UTF-16BE/LE编码下,对应的字节数组完全不同。如果签名方用UTF-8编码消息来计算摘要,而验签方用平台默认编码(比如中文Windows是GBK),那么双方计算的摘要从一开始就南辕北辙,后续所有步骤都正确也无法验签通过。
最佳实践:
- 在接口文档中,明确约定消息的字符集编码。强烈推荐使用UTF-8。
- 在代码中,永远不要使用
String.getBytes()这种无参方法。务必显式指定编码:message.getBytes(StandardCharsets.UTF_8)。 - 如果可能,让对接方提供一条测试用例,包含原始消息字符串、其UTF-8编码的Hex值、以及对应的正确签名。你可以先用Hex值验证自己的编码是否正确,再验证签名。
5.3 密钥格式与加载的坑
“Invalid Key”类错误往往源于密钥格式。除了标准的PKCS#8公钥(-----BEGIN PUBLIC KEY-----),你可能会遇到:
- X.509证书:对方可能直接给了一个证书(
.crt或.pem格式,以-----BEGIN CERTIFICATE-----开头)。你需要先从证书中提取公钥。 - PKCS#1格式公钥:以
-----BEGIN RSA PUBLIC KEY-----开头。JCA的KeyFactory可能无法直接识别,需要先转换为PKCS#8格式,或者使用BouncyCastle来加载。
使用BouncyCastle的PEMParser可以通吃这些格式,它是处理各种PEM格式密钥的瑞士军刀。
// 使用BC加载各种格式的PEM PEMParser parser = new PEMParser(new FileReader("key.pem")); Object object = parser.readObject(); parser.close(); PublicKey publicKey; if (object instanceof SubjectPublicKeyInfo) { // 标准PUBLIC KEY格式 publicKey = KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(((SubjectPublicKeyInfo) object).getEncoded())); } else if (object instanceof X509CertificateHolder) { // 证书格式,提取公钥 publicKey = KeyFactory.getInstance("RSA").generatePublic(new X509EncodedKeySpec(((X509CertificateHolder) object).getSubjectPublicKeyInfo().getEncoded())); } else if (object instanceof org.bouncycastle.asn1.pkcs.RSAPublicKey) { // PKCS#1格式,需要转换 org.bouncycastle.asn1.pkcs.RSAPublicKey pkcs1Key = (org.bouncycastle.asn1.pkcs.RSAPublicKey) object; RSAPublicKeySpec keySpec = new RSAPublicKeySpec(pkcs1Key.getModulus(), pkcs1Key.getPublicExponent()); publicKey = KeyFactory.getInstance("RSA").generatePublic(keySpec); } else { throw new IllegalArgumentException("不支持的PEM类型: " + object.getClass()); }6. 单元测试与集成验证策略
对于签名验签这种核心安全功能,必须有完善的测试来保证其正确性和与对接方的兼容性。
6.1 构建自验签测试用例
首先,要能自我验证签名和验签流程的闭环是正确的。
@Test public void testPSSRoundTrip() throws Exception { // 1. 生成测试密钥对 KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA"); keyGen.initialize(2048); KeyPair keyPair = keyGen.generateKeyPair(); PrivateKey privateKey = keyPair.getPrivate(); PublicKey publicKey = keyPair.getPublic(); // 2. 定义明确的PSS参数(与你项目实际使用的保持一致) PSSParameterSpec pssSpec = new PSSParameterSpec("SHA-256", "MGF1", MGF1ParameterSpec.SHA256, 32, PSSParameterSpec.TRAILER_FIELD_BC); // 3. 签名 String originalMessage = "这是一条测试消息,包含中文和数字123。"; Signature signer = Signature.getInstance("SHA256withRSA/PSS"); signer.setParameter(pssSpec); signer.initSign(privateKey); signer.update(originalMessage.getBytes(StandardCharsets.UTF_8)); byte[] signature = signer.sign(); // 4. 验签(使用同一套参数) Signature verifier = Signature.getInstance("SHA256withRSA/PSS"); verifier.setParameter(pssSpec); // !!!必须设置相同的参数 !!! verifier.initVerify(publicKey); verifier.update(originalMessage.getBytes(StandardCharsets.UTF_8)); assertTrue(verifier.verify(signature)); // 自验签必须通过 // 5. 验证篡改消息后验签失败 verifier.initVerify(publicKey); verifier.update((originalMessage + "tampered").getBytes(StandardCharsets.UTF_8)); assertFalse(verifier.verify(signature)); // 必须失败 // 6. 验证使用不同盐长会失败 PSSParameterSpec wrongSaltSpec = new PSSParameterSpec("SHA-256", "MGF1", MGF1ParameterSpec.SHA256, 20, PSSParameterSpec.TRAILER_FIELD_BC); verifier.setParameter(wrongSaltSpec); verifier.initVerify(publicKey); verifier.update(originalMessage.getBytes(StandardCharsets.UTF_8)); // 这里验签大概率会失败,因为盐长从32改为了20 // 注意:有极小概率,随机的盐恰好使得编码后的EM在两种盐长下都有效,但概率极低。 }这个测试确保了你的签名和验签代码在参数一致的情况下是工作的,并且对消息的敏感性是存在的。
6.2 与对接方进行集成测试的沙箱环境
在开发阶段,光有自验签不够,必须与对接方进行联调。我的建议是:
- 建立“验签沙箱”:写一个简单的HTTP接口(比如用Spring Boot),接收对方发送的消息和签名,用你的验签逻辑进行验证,并返回详细的验证结果(成功/失败)以及失败时的可能原因(如“盐长疑似不匹配”、“消息编码不一致”)。这个接口的日志要详细,打印出你使用的所有参数。
- 请求对方提供“黄金测试向量”:即一条明确的消息字符串、其准确的字节序列(Hex表示)、使用的公钥、以及正确的签名。你用他们的公钥和你的验签逻辑去验证。如果不通过,对比你的Hex计算和他们提供的是否一致,这是定位编码问题最快的方法。
- 参数枚举测试:如果对方无法提供明确参数,你就需要准备一个测试脚本,用他们的公钥和一条测试签名,遍历所有可能的参数组合(哈希算法:SHA256/SHA1;盐长:32/20/0/-1;MGF哈希:SHA256/SHA1)。虽然组合不多,但能系统性地找出那个能验签通过的组合。把这个过程自动化,以后对接新系统就能快速套用。
7. 性能考量与生产环境最佳实践
在搞定功能正确性之后,我们还需要关注它在生产环境下的表现。
7.1 性能影响分析
PSS验签的主要计算开销在于:
- RSA公钥操作:这是最耗时的部分,复杂度与密钥长度(如2048位)相关。与PKCS#1 v1.5相比,PSS的RSA操作本身没有额外开销,它加密/解密的数据块长度同样是密钥模长。
- 哈希计算:SHA256计算,对于普通消息来说开销很小。
- PSS编码/解码:涉及MGF1掩码生成和异或操作,这部分是PSS相比v1.5的额外开销,但相对于RSA运算来说可以忽略不计。
因此,从性能角度看,PSS验签与传统的PKCS#1 v1.5验签几乎没有差异。瓶颈依然在RSA运算上。在高并发场景下,需要考虑使用硬件加速(如支持RSA的HSM硬件安全模块)或者采用更高效的椭圆曲线签名算法(如ECDSA)。
7.2 生产环境部署建议
- 密钥管理:绝对不要将私钥硬编码在代码或配置文件中。使用安全的密钥管理系统(KMS)、HSM,或者至少在部署时从环境变量、加密的配置文件注入。公钥可以相对公开,但也建议定期轮换。
- 错误处理与日志:验签失败时,不要返回简单的“验签失败”。应该根据不同的失败原因(如格式错误、密钥不匹配、签名无效)记录不同级别的日志,并返回适当的业务响应。但要注意,不要将详细的内部错误信息(如“盐长32不匹配”)暴露给外部接口,以防被攻击者利用进行侧信道攻击。内部日志要详细,对外响应要模糊。
- 参数固化:一旦与某个对接方确定了PSS参数(盐长、哈希等),将这些参数作为该对接方的配置项固化下来,而不是散落在代码中。这样便于管理和后续维护。
- 依赖管理:如果使用BouncyCastle,请确保将其版本固定,并关注安全公告。加密库的漏洞影响面很大。
- 降级与兼容:如果你的系统需要同时支持PSS和传统的PKCS#1 v1.5签名(例如为了兼容老版本客户端),设计一个清晰的策略,比如在HTTP头或请求参数中指明签名算法,然后根据算法选择不同的验签逻辑。
最后,我个人在多次对接后养成的一个习惯是:为每一个外部系统建立一个独立的“签名验签配置档案”,里面记录公钥、算法名称、盐长度、消息编码、示例请求/响应。在每次系统升级或对接方变更时,先跑一遍这个档案里的测试用例。这套方法虽然前期费点事,但能避免无数次的深夜紧急故障排查。密码学的东西,严谨和明确是第一位的,任何“大概”、“应该”都可能让你付出成倍的调试时间。