Stub IdP trust validator.
[java-idp.git] / src / edu / internet2 / middleware / shibboleth / common / Trust.java
1 /*
2  * The Shibboleth License, Version 1. Copyright (c) 2002 University Corporation for Advanced Internet Development, Inc.
3  * All rights reserved Redistribution and use in source and binary forms, with or without modification, are permitted
4  * provided that the following conditions are met: Redistributions of source code must retain the above copyright
5  * notice, this list of conditions and the following disclaimer. Redistributions in binary form must reproduce the above
6  * copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials
7  * provided with the distribution, if any, must include the following acknowledgment: "This product includes software
8  * developed by the University Corporation for Advanced Internet Development <http://www.ucaid.edu> Internet2 Project.
9  * Alternately, this acknowledegement may appear in the software itself, if and wherever such third-party
10  * acknowledgments normally appear. Neither the name of Shibboleth nor the names of its contributors, nor Internet2, nor
11  * the University Corporation for Advanced Internet Development, Inc., nor UCAID may be used to endorse or promote
12  * products derived from this software without specific prior written permission. For written permission, please contact
13  * shibboleth@shibboleth.org Products derived from this software may not be called Shibboleth, Internet2, UCAID, or the
14  * University Corporation for Advanced Internet Development, nor may Shibboleth appear in their name, without prior
15  * written permission of the University Corporation for Advanced Internet Development. THIS SOFTWARE IS PROVIDED BY THE
16  * COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND WITH ALL FAULTS. ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
17  * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, AND NON-INFRINGEMENT ARE
18  * DISCLAIMED AND THE ENTIRE RISK OF SATISFACTORY QUALITY, PERFORMANCE, ACCURACY, AND EFFORT IS WITH LICENSEE. IN NO
19  * EVENT SHALL THE COPYRIGHT OWNER, CONTRIBUTORS OR THE UNIVERSITY CORPORATION FOR ADVANCED INTERNET DEVELOPMENT, INC.
20  * BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
21  * LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
22  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE
23  * OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
24  */
25
26 package edu.internet2.middleware.shibboleth.common;
27
28 import java.security.cert.CertificateEncodingException;
29 import java.security.cert.X509Certificate;
30 import java.util.Arrays;
31 import java.util.Iterator;
32
33 import org.apache.log4j.Logger;
34 import org.apache.xml.security.keys.KeyInfo;
35 import org.apache.xml.security.keys.keyresolver.KeyResolverException;
36
37 import edu.internet2.middleware.shibboleth.metadata.KeyDescriptor;
38 import edu.internet2.middleware.shibboleth.metadata.Metadata;
39 import edu.internet2.middleware.shibboleth.metadata.RoleDescriptor;
40
41 /**
42  * @author Walter Hoehn
43  */
44 public class Trust {
45
46         private static Logger log = Logger.getLogger(Trust.class.getName());
47         private Metadata metadata;
48
49         public boolean validate(RoleDescriptor descriptor, X509Certificate[] certificateChain, int keyUse) {
50
51                 // Iterator through all the keys in the metadata
52                 Iterator keyDescriptors = descriptor.getKeyDescriptors();
53                 while (keyDescriptors.hasNext()) {
54                         // Look for a key descriptor with the right usage bits
55                         KeyDescriptor keyDescriptor = (KeyDescriptor) keyDescriptors.next();
56                         if (keyDescriptor.getUse() != KeyDescriptor.UNSPECIFIED && keyDescriptor.getUse() != keyUse) {
57                                 log.debug("Role contains a key descriptor, but the usage specification is not valid for this action.");
58                                 continue;
59                         }
60
61                         // We found one, attempt to do an exact match between the metadata certificate
62                         // and the supplied end-entity certificate
63                         KeyInfo keyInfo = keyDescriptor.getKeyInfo();
64                         if (keyInfo.containsX509Data()) {
65                                 log.debug("Attempting to match X509 certificate.");
66                                 try {
67                                         X509Certificate metaCert = keyInfo.getX509Certificate();
68                                         if (certificateChain != null && certificateChain.length > 0
69                                                         && Arrays.equals(metaCert.getEncoded(), certificateChain[0].getEncoded())) {
70                                                 log.debug("Match successful.");
71                                                 return true;
72                                         } else {
73                                                 log.debug("Certificate did not match.");
74                                         }
75
76                                 } catch (KeyResolverException e) {
77                                         log.error("Error extracting X509 certificate from metadata.");
78                                 } catch (CertificateEncodingException e) {
79                                         log.error("Error while comparing X509 encoded data.");
80                                 }
81                         }
82                 }
83                 return false;
84         }
85 }