Java和PHP中PKCS#7签名验签失败，尾部附加“AAAAAAAA==”字符串该如何解决？

Java和PHP PKCS#7签名验签问题：解决尾部“AAAAAAAA==”字符串

在使用Java或PHP处理第三方接口返回的PKCS#7签名数据时，经常遇到验签失败的情况。问题根源在于签名数据尾部附加了不属于标准PKCS#7格式的“AAAAAAAA==”字符串。本文将分析问题并提供解决方案。

PKCS#7签名数据包含签名本身和证书信息等。 示例签名数据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 就是一个典型的例子，其中“AAAAAAAA==”是额外添加的。

问题原因：

验签函数无法正确解析包含额外数据的无效PKCS#7数据，导致验签失败。

解决方案：

在进行验签前，必须先清理数据：

1. 去除尾部“AAAAAAAA==”： 使用字符串操作函数移除签名字符串尾部的“AAAAAAAA==”。
2. Base64解码： 将清理后的字符串进行Base64解码，得到DER编码的PKCS#7数据。
3. PKCS#7验签： 使用Java或PHP的PKCS#7验签函数（例如，PHP的openssl_verify()或Java的相应库函数），结合对应的公钥进行验签。

代码示例（PHP）：

由于缺少具体的公钥信息和使用的库，以下代码仅供参考，需根据实际情况修改：

$signature = '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';

$cleanedSignature = str_replace('AAAAAAAA==', '', $signature);
$decodedSignature = base64_decode($cleanedSignature);

//  此处需要替换为实际的公钥和数据
$publicKey = file_get_contents('path/to/public.pem');
$data = 'your data to verify';

$result = openssl_verify($data, $decodedSignature, $publicKey, OPENSSL_ALGO_SHA256);

if ($result == 1) {
    echo "Signature is valid.";
} else {
    echo "Signature is invalid.";
}

关键点：

• 确保正确获取并使用对应的公钥。
• 根据所使用的Java或PHP库调整代码，特别是PKCS#7验签函数的调用方式。

解决这个问题的关键在于识别并去除额外附加的字符串，然后才能正确地进行PKCS#7签名验证。 请根据实际情况修改代码示例，并仔细检查每个步骤。