Java和PHP中PKCS#7签名验签失败，尾部附加“AAAAAAAA==”字符串该如何解决？

Java和PHP PKCS#7签名验签问题：解决尾部“AAAAAAAA==”字符串

在使用Java或PHP处理第三方接口返回的PKCS#7签名数据时，经常遇到验签失败的情况。问题根源在于签名数据尾部附加了不属于标准PKCS#7格式的“AAAAAAAA==”字符串。本文将分析问题并提供解决方案。

PKCS#7签名数据包含签名本身和证书信息等。 示例签名数据MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAMYIBtjCCAbICAQEwMDArMQswCQYDVQQGEwJDTjENMAsGA1UECwwEUFROUjENMAsGA1UEAwwEdGVzdAIBMDAJBgUrDgMCGgUAoF0wGAYJKoZIhvcNAQkDMQsGCSqGSIb3DQEHATAcBgkqhkiG9w0BCQUxDxcNMjIwNDEzMDE1MzA1WjAjBgkqhkiG9w0BCQQxFgQUNM83YyGVb4F/3qCf7nJdd0RCfPswDQYJKoZIhvcNAQEBBQAEggEAfTr5VkwK53MeEoWVSnItCiArnbSKA2BbFSg+nNmb9ZXx6iuPy1hdwGqv16krAA/Pjfzv+gPaoiqAy8zNHf66OfCdqhlkuyaFALi4B6BRTEDPmXM+rmHTBgQP3jRQm259Bkmz+TnEuswdrtdA3q/pDhGtQY7yEGxS6zWaq9QE2l9CEX9jVXGEB8IKkGyI1WS/2pxx/HR94VAa8tyTfHR3KdHraMKpWr9SXQVgF0yNKub3Mi4+TUM6cjxl7SODyDT3AnTtc7TDsGUcgfPKM9ffHveOetw3PDfo7PhFc8WLECEG5cQ/OF3Tl08RmxtrZXfZXQTI8jGRd5PFa7oH7p9aOgAAAAAAAA== 就是一个典型的例子，其中“AAAAAAAA==”是额外添加的。

问题原因：

立即学习“PHP免费学习笔记（深入）”；

验签函数无法正确解析包含额外数据的无效PKCS#7数据，导致验签失败。

解决方案：

在进行验签前，必须先清理数据：

去除尾部“AAAAAAAA==”： 使用字符串操作函数移除签名字符串尾部的“AAAAAAAA==”。Base64解码： 将清理后的字符串进行Base64解码，得到DER编码的PKCS#7数据。PKCS#7验签： 使用Java或PHP的PKCS#7验签函数（例如，PHP的openssl_verify()或Java的相应库函数），结合对应的公钥进行验签。

代码示例（PHP）：

由于缺少具体的公钥信息和使用的库，以下代码仅供参考，需根据实际情况修改：

$signature = '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';$cleanedSignature = str_replace('AAAAAAAA==', '', $signature);$decodedSignature = base64_decode($cleanedSignature);//  此处需要替换为实际的公钥和数据$publicKey = file_get_contents('path/to/public.pem');$data = 'your data to verify';$result = openssl_verify($data, $decodedSignature, $publicKey, OPENSSL_ALGO_SHA256);if ($result == 1) {    echo "Signature is valid.";} else {    echo "Signature is invalid.";}

登录后复制