Para utilizar los servicios web para la descargar masiva del SAT es necesario autentificarse ante el servidor de servicios web mediante un par de llaves proporcionadas por el SAT, estas llaves son las correspondientes al certificado de Firma Electrónica (FIEL).
El tipo de autenticación del servicio cumple con las especificaciones de Web
Services Security v1.0 (WS-Security 2004):
https://www.oasis-open.org/standards#wssv1.0
La siguiente es una guía dirigida para la generación del XML de la petición de token.
💡 En nuestro GitHub, puedes encontrar ejemplos para C# y PHP, donde cada uno tiene sus propios requisitos (Versión 1.1)
Requisitos
Para la autentificación es necesario contar con los siguientes requisitos:
- Certificado (*.cer) de nuestra FIEL.
- Llave privada (*.key) de nuestra FIEL.
- Password de llave privada.
Para la guía y creación del XML, tomaremos de ejemplo el XML que aparece dentro de la guía que nos proporciona el SAT para el consumo de esté Web Service.
<s:envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" xmlns:u="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<s:header>
<activityid correlationid="c5478a6f-8f27-43f4-bc97-bea17612517c" xmlns="http://schemas.microsoft.com/2004/09/ServiceModel/Diagnostics">00000000-0000-0000-0000-000000000000</activityid>
<o:security s:mustunderstand="1" xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<u:timestamp u:id="_0">
<u:created>2022-02-15T19:06:32.002Z</u:created>
<u:expires>2022-02-15T19:11:32.002Z</u:expires>
</u:timestamp>
<o:binarysecuritytoken u:id="uuid-726d6583-bb04-4d74-8841-f0d404dffadb-4" valuetype="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" encodingtype="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">MIIG6jCCBNKgAwIBAgIUMzAwMDEwMDAwMDA0MDAw MDk0MjQwDQYJKoZIhvcNAQELBQAwggErMQ8wDQYDVQQDDAZBQyBVQV QxLjAsBgNVBAoMJVNFUlZJQ0lPIERFIEFETUlOSVNUUkFDSU9OIFRSSUJVVE FSSUExGjAYBgNVBAsMEVNBVC1JRVMgQXV0aG9yaXR5MSgwJgYJKoZIhvcN AQkBFhlvc2Nhci5tYXJ0aW5lekBzYXQuZ29iLm14MR0wGwYDVQQJDBQzcmE gY2VycmFkYSBkZSBjYWRpejEOMAwGA1UEEQwFMDYzNzAxCzAJBgNVBAYT Ak1YMRkwFwYDVQQIDBBDSVVEQUQgREUgTUVYSUNPMREwDwYDVQQHD AhDT1lPQUNBTjERMA8GA1UELRMIMi41LjQuNDUxJTAjBgkqhkiG9w0BCQITFn Jlc3BvbnNhYmxlOiBBQ0RNQS1TQVQwHhcNMjExMDI5MDEzNTQzWhcNMjU xMDI5MDEzNTQzWjCCAhAxSTBHBgNVBAMTQFNJTkRJQ0FUTyBERSBDSE9 GRVJFUyBERSBUQVhJUyBZIENPTUJJUyBERUwgU0VSVklDSU8gUFVCTElDT yBUUkExggEYMIIBFAYDVQQpE4IBC1NJTkRJQ0FUTyBERSBDSE9GRVJFUyBE RSBUQVhJUyBZIENPTUJJUyBERUwgU0VSVklDSU8gUFVCTElDTyBUUkFOU1 BPUlRJU1RBUyBERSBNQVRFUklBTEVTIFBBUkEgTEEgQ09OU1RSVUNDSU9O IFNFTUlMTEEgREVMIENBTVBPIFkgRU1QTEVBRE9TIERFIExBIENPTlNUUlVDQ 0lPTiBDT05FWE9TIFkgU0lNSUxBUkVTIERFTCBFU1RBRE8gREUgTUlDSE9BQ 0FOIExJQy4gUk9ET0xGTyBDSUVORlVFR09TIE1BUklOIFNJTiBUSVBPIERFIFN PQ0lFREFEIFMgQSBCIERFIEMgVjFJMEcGA1UEChNAU0lORElDQVRPIERFIEN IT0ZFUkVTIERFIFRBWElTIFkgQ09NQklTIERFTCBTRVJWSUNJTyBQVUJMSUN PIFRSQTElMCMGA1UELRMcQVhUOTQwNzI3RlA4IC8gVkFBRTczMTAyMTEyM TEeMBwGA1UEBRMVIC8gVkFBRTczMTAyMUhNQ1pMRjAxMRUwEwYDVQQL EwxBWFQ5NDA3MjdGUDgwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggE KAoIBAQCSz7GYj9+3USinhhFlu9TwLeFpq6kW9j9aS+3yqxdvYO/CBJvO7QCIx wwsyVLmkm5bdydEglmIELcJ/yRyytNU62sgIIxC1yKn9WgLkJPw0JTsQPJWO+ wElpuO5cH7e2p/cpaVK5AUQlpb8RnH9cpwBUkXsZsVNKd8NR3547dqGNcIle c+m20Y744tDnEgZZ+T5E9+cGYOH/aZdnN8gKC/hSRCOlNIbVXKCjJuVTa2GV7 ffhnpVtHrecSHlj5JNH7LGUKj+kjL8rY6DmdmkVe0bja63/Ou7dTAMHHYas1NO Hly72PPvIT5S0/gMm/i/uSdtTTK8QEie7RDAB3+iGQFAgMBAAGjHTAbMAwGA1 UdEwEB/wQCMAAwCwYDVR0PBAQDAgbAMA0GCSqGSIb3DQEBCwUAA4IC AQBeTqiXE4ikT+t69VcIEqV69O+EOHa92wqwcZN8LHcGc1mwEPlwoKeD3yy9 AxH+Dr+mE/2DbjVrPLS9XYONpy/Ll4XU6rQQVP334v4rqi43GS+RLnoVITWrtj0 VKIJmyAwKUmgtT4ZD/BmSrqQ5NP6B/uZuurSlOl05MXmE5M9Evo44/2C595r QmIM8r50LSj6OWPaWXd4rCf79gID8FFl6aSCnrOu7Gj5p33fugzDL6N99NJ4a RQdHfWLjGbHWBN3yTlMs22TRuYIilZEPhRogx6jlmOzgBA/70ItMbE1f+SuB7uZ qYmROZzjLmcsAZ4XbUFXqJ2VvcYuYsKBzjh7Az+X59bCBLD26zOkqGy4jdIjk1l gbosOWChEQs8ehUi4rpYTOrfX9zl3KBNbN2UmIC2bGEpQI4BOkOF71Vi/AYhP Fe5wB+8rLgJPu7AURu39UIMPlQM4N8so+1m2sjCFy+R1mAMGMdbtVbUjjfmp Wmg6slAHENd/hjkmPtOQFZ3SULWwSISS3ak4taQakujIztTO6C1694WB2vXa7 2QHNe9wCoyDytIoq9mhJGusICFACfVVWKyL3S74yE1YNJsHcwgHm76umciaa dO3ka3hzQ79u+5nhttNwkwuQAnwHCdVM0SE/3ptjFoyYRQ7BzNzWx6YQSI3K 459miVfvhGaF7g==</o:binarysecuritytoken>
<signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<signedinfo>
<canonicalizationmethod algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
<signaturemethod algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1">
<reference uri="#_0">
<transforms>
<transform algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
</transform></transforms>
<digestmethod algorithm="http://www.w3.org/2000/09/xmldsig#sha1">
<digestvalue>PGHeLUNdZvws7kjlTpPPxlY2XGM=</digestvalue>
</digestmethod></reference>
</signaturemethod></canonicalizationmethod></signedinfo>
<signaturevalue>K8vjpiExzxNDvD0hVPQlAXw5LOafN0xNyd6TpT0PF/aiE6wej LE8iyqk8IEehoKOe6MR3Fz0JKl1ELSkhlNU1RAZ6qQdQpPAP2HNE+hzHoGLitN ycR30VZ3/aUVvesqNC/KZP+uRp3zPlED9OOO9rqUiN87xChi3yCHXm41cyrDSy gUyzfIfS+GfseJxSbVBFcKs1AiHRAI8j4ZAhq/tOjjxr4mRYK4nKQ6yRYnIMR3OEls F27+4b0tCmWUNTLDpys7KG9XRkBZzNRmWIHNgnwSXop+uIPSeZkJmGt081 tn+/EI9TtIBlFb2hBw41hS2Ugf17+ycv0F8mv017eUqgA==</signaturevalue>
<keyinfo>
<o:securitytokenreference>
<o:reference valuetype="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" uri="#uuid-726d6583-bb04-4d74-8841-f0d404dffadb-4">
</o:reference></o:securitytokenreference>
</keyinfo>
</signature>
</o:security>
</s:header>
<s:body>
<autentica xmlns="http://DescargaMasivaTerceros.gob.mx">
</autentica></s:body>
</s:envelope>
Calcular datos necesarios
Fecha inicial: Fecha actual de inicio, declaradas como UTC Unix. Puedes consultar la fecha actual en dicho formato en la siguiente página.
Fecha final: Fecha hasta cuándo será válido el token, declarada como UTC Unix.
Certificado: Al igual que en CFDI 4.0, tomar los bytes del archivo .Cer de la FIEL y hacer un encode utilizando base64.
UUID: Calcular un UUID en formato V4, para efectos prácticos puedes consultar un ejemplo en la siguiente web: https://www.uuidgenerator.net/version4
Una vez calculado, añadir al principio “#uuid-” y al final “-1”, para tener algo como lo siguiente: “#uuid-71ad46b3-dea8-49a8-a1ce-3fdbc3bb9cc5-1“
DigestValue: Se debe calcular el SHA1 en formato binario del siguiente texto (Cabe aclarar que la fecha cambiara).
El texto es el del nodo con el namespace, pero dicho nodo debe ir sin espacios.
<u:timestamp xmlns:u="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" u:id="_0">
<u:created>2023-07-14T15:35:37.914Z</u:created>
<u:expires>2023-07-14T15:40:37.914Z</u:expires>
</u:timestamp>
Y los bytes que obtienes codearlos a base64.Utilizando este nodo, el resultado sería el siguiente: vKqrH5suuIrWLnSK/qN4S7/xI0U=
SignatureValue: Se debe calcular un algoritmo de digestión SHA1 utilizando la llave privada de la FIEL y el siguiente texto:
<signedinfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<canonicalizationmethod algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"></canonicalizationmethod>
<signaturemethod algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"></signaturemethod>
<reference uri="#_0">
<transforms>
<transform algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"></transform>
</transforms>
<digestmethod algorithm="http://www.w3.org/2000/09/xmldsig#sha1"></digestmethod>
<digestvalue>vKqrH5suuIrWLnSK/qN4S7/xI0U=</digestvalue>
</reference>
</signedinfo>
Tener en consideración que el DigestValue anteriormente calculado aparece en dicho texto.
Una vez hecha la digestión, el resultado en bytes lo codeamos en base64. Utilizando la llave privada de la FIEL de pruebas “EWE1709045U0”, el resultado sería el siguiente: k0cUWqgAcQNIxQFEXDKIrXAxgUd++UPqR82h0rCZ4rckdeZ3eA6d+/QKGjFvn9g0De/MHRncHbW/nKnO94c5/Qi6KhjURZJ2iAhcONfV7Zq6F8uRgG+nDcoaNNcqV06MTtN7cvd1eKCbZPJ8P7Ll2hT0aNGsffPEDIFUlGVmQxx61OHynZNff5H39VhEfgkg4ZjpgIzr1Thd7bN5s1XJa/gbPKuuJDgx9wjOumf3XsRibysfvhD2u1OarrsXFfHZi7CfDtDtmMv4kT8CdHaAzxU2yCvNiLZfISW94mPSLkEMU5nCHp3HXAaXxv6Ci7UIGPrxb73OqD/Y6Q81tRcTTQ==
Llenado de campos
Una vez que tengamos los datos anteriormente calculados, procederemos a colocarlos sobre la plantilla del XML que se debe enviar al SAT.
Fecha Inicial y Fecha Final: Estos campos, irán su correspondiente nodo que está dentro del nodo Timestamp.
- Fecha Inicial va en el nodo Created.
- Fecha Final va en el nodo Expires
UUID: debe ir en las siguientes 2 posiciones:
- s:Envelope/s:Header/o:Security/o:BinarySecurityToken[@u:Id]
- s:Envelope/s:Header/o:Security/Signature/KeyInfo/o:SecurityTokenReference /o:Reference[@URI]
Certificado: Es el texto que va en el nodo
s:Envelope/s:Header/o:Security/o:BinarySecurityToken
DigestValue: Es el texto que va en el nodo
s:Envelope/s:Header/o:Security/Signature/SignedInfo/Reference/DigestValue
SignatureValue: Es el texto que va en el nodo
s:Envelope/s:Header/o:Security/Signature/SignatureValue
Documento Final
Después de hacer el cálculo y llenado de los datos, tendríamos el siguiente XML de ejemplo.
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:u="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<s:Header>
<ActivityId CorrelationId="c5478a6f-8f27-43f4-bc97-bea17612517c"
xmlns="http://schemas.microsoft.com/2004/09/ServiceModel/Diagnostics">00000000-0000-0000-0000-000000000000</ActivityId>
<o:Security s:mustUnderstand="1"
xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<u:Timestamp u:Id="_0">
<u:Created>2023-07-14T15:35:37.914Z</u:Created>
<u:Expires>2023-07-14T15:40:37.914Z</u:Expires>
</u:Timestamp>
<o:BinarySecurityToken u:Id="uuid-71ad46b3-dea8-49a8-a1ce-3fdbc3bb9cc5-1" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">MIIGBzCCA++gAwIBAgIUMzAwMDEwMDAwMDA1MDAwMDM0MTcwDQYJKoZIhvcNAQELBQAwggErMQ8wDQYDVQQDDAZBQyBVQVQxLjAsBgNVBAoMJVNFUlZJQ0lPIERFIEFETUlOSVNUUkFDSU9OIFRSSUJVVEFSSUExGjAYBgNVBAsMEVNBVC1JRVMgQXV0aG9yaXR5MSgwJgYJKoZIhvcNAQkBFhlvc2Nhci5tYXJ0aW5lekBzYXQuZ29iLm14MR0wGwYDVQQJDBQzcmEgY2VycmFkYSBkZSBjYWxpejEOMAwGA1UEEQwFMDYzNzAxCzAJBgNVBAYTAk1YMRkwFwYDVQQIDBBDSVVEQUQgREUgTUVYSUNPMREwDwYDVQQHDAhDT1lPQUNBTjERMA8GA1UELRMIMi41LjQuNDUxJTAjBgkqhkiG9w0BCQITFnJlc3BvbnNhYmxlOiBBQ0RNQS1TQVQwHhcNMjMwNTE4MTIxMDU3WhcNMjcwNTE3MTIxMDU3WjCB/DEoMCYGA1UEAxMfRVNDVUVMQSBXSUxTT04gRVNRVUlWRUwgUyBERSBDVjEoMCYGA1UEKRMfRVNDVUVMQSBXSUxTT04gRVNRVUlWRUwgUyBERSBDVjEoMCYGA1UEChMfRVNDVUVMQSBXSUxTT04gRVNRVUlWRUwgUyBERSBDVjELMAkGA1UEBhMCTVgxKDAmBgkqhkiG9w0BCQEWGVNBVHBydWViYXNAcHJ1ZWJhcy5nb2IubXgxJTAjBgNVBC0THEVXRTE3MDkwNDVVMCAvIFZBREE4MDA5MjdESjMxHjAcBgNVBAUTFSAvIFZBREE4MDA5MjdIU1JTUkwwNTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAPPe5O7l4vQcJ21BASG/jsIZp04yvNCJ/k5Vm4mdvaQcoEyjPMGVtGYfnmqKx3hhatF2bXTfD0nn67G1pZRNC9XcVGrqXlAZIgnV9N+838Rke1oYaE8XTUlgWVE75gLxB2cFny7CX996YwesODWNq/jyQpJAQfuDqSKINBRHu4VcbRvXmIPAxnJdPRoAyfeevvK0zX8FRdF2YzkdF2l2aMCVVDN3KC2XyvftI5z4lUIVfYnOBM1UAx0pZcP9tIoBrUHgwgukZpivtQCeBWsRi6bTz7RS2hACGKDYNozJ3vTrUg6mPAPu0ngRnxOHa5j4P3gJNO0yIPZiADtG/0woC7ECAwEAAaNPME0wDAYDVR0TAQH/BAIwADALBgNVHQ8EBAMCA9gwEQYJYIZIAYb4QgEBBAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMEBggrBgEFBQcDAjANBgkqhkiG9w0BAQsFAAOCAgEAmZaUbguH9e0KhGn6b+4nRMJTEzH/x1L+2oZB3DqVdtYH3JqY2b+Rmg64VCf5eZTiEW2gaslW3iN5OipRjjx+6WzU5P7NxzxIButINziBVUdeClYC3AdUwWnf+hNs9xM5iK+WtgODI+1Apwz0zS6Nu/osApooTad8vVZZONRoIJ6TdeV9b6oNc1qz5RPdXM+pp3JnkPrAFEGVQQQ6fyNFS6lMNSlWIkYAyA2s6rKvfy4OmLSokyXwf8kop1IQN6g0ogHZu4Ivsfsc3RO6QEdO6Oa9hB3z6rIGowidxExF7WYRT/gNMynGrCWy97Ug2Pr4QRzGTui2uaJhRw0gN4PsXJrFyqhPDBhXRmk1o4yUb4Id94M0Tp7WapVcBxtazniChUDMaH5ZWd23jgqHHZ9GZPh/5CNqUK+P5D+3h0/zfUotf6FH80eNwvAmGWfUXPKomAnqmGVC5RlXUeVuF6NysVUuK0+dhf1dzlE1sKAhO1Tb8NlMcT9FdSJRlAyG4IwYyDuXcEiq0LNHHprs3exgQ4jAMUCd/hieH2qi1tOe9kYxvNvO/5u2yGJ0Xu8L/oz/cm1grYa2lumZeb1Ik/x+fRT0K1qO9NoXeVJvPG/mfjCfksd5baaJ4uyLInnCFkZDJJoD3I7aUVTdd7tdcsbqbbV8NFBKSmOcDHw67Qb2HBM=</o:BinarySecurityToken>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<Reference URI="#_0">
<Transforms>
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>vKqrH5suuIrWLnSK/qN4S7/xI0U=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>k0cUWqgAcQNIxQFEXDKIrXAxgUd++UPqR82h0rCZ4rckdeZ3eA6d+/QKGjFvn9g0De/MHRncHbW/nKnO94c5/Qi6KhjURZJ2iAhcONfV7Zq6F8uRgG+nDcoaNNcqV06MTtN7cvd1eKCbZPJ8P7Ll2hT0aNGsffPEDIFUlGVmQxx61OHynZNff5H39VhEfgkg4ZjpgIzr1Thd7bN5s1XJa/gbPKuuJDgx9wjOumf3XsRibysfvhD2u1OarrsXFfHZi7CfDtDtmMv4kT8CdHaAzxU2yCvNiLZfISW94mPSLkEMU5nCHp3HXAaXxv6Ci7UIGPrxb73OqD/Y6Q81tRcTTQ==</SignatureValue>
<KeyInfo>
<o:SecurityTokenReference>
<o:Reference ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" URI="#uuid-71ad46b3-dea8-49a8-a1ce-3fdbc3bb9cc5-1"/>
</o:SecurityTokenReference>
</KeyInfo>
</Signature>
</o:Security>
</s:Header>
<s:Body>
<Autentica xmlns="http://DescargaMasivaTerceros.gob.mx"/>
</s:Body>
</s:Envelope>
Dicho ejemplo fue realizado con la FIEL del certificado de pruebas “EWE1709045U0”.
Response
<s:envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" xmlns:u="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<s:header>
<o:security s:mustunderstand="1" xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<u:timestamp u:id="_0">
<u:created>2023-07-14T15:42:58.786Z</u:created>
<u:expires>2023-07-14T15:47:58.786Z</u:expires>
</u:timestamp>
</o:security>
</s:header>
<s:body>
<autenticaresponse xmlns="http://DescargaMasivaTerceros.gob.mx">
<autenticaresult>eyJhbGciOiJodHRwOi8vd3d3LnczLm9yZy8yMDAxLzA0L3htbGRzaWctbW9yZSNobWFjLXNoYTI1NiIsInR5cCI6IkpXVCJ9.eyJuYmYiOjE2ODkzNDkzNzgsImV4cCI6MTY4OTM0OTk3OCwiaWF0IjoxNjg5MzQ5Mzc4LCJpc3MiOiJMb2FkU29saWNpdHVkRGVjYXJnYU1hc2l2YVRlcmNlcm9zIiwiYWN0b3J0IjoiMzMzMDMwMzAzMTMwMzAzMDMwMzAzMDM1MzAzMDMwMzAzMzM0MzEzNyJ9.1LRCKkQBXY93DfDf26y9u7rmP4PddQ-TBbyYlOCQ-8A%26wrap_subject%3d3330303031303030303030353030303033343137</autenticaresult>
</autenticaresponse>
</s:body>
</s:envelope>
<s:envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">
<s:body>
<s:fault>
<faultcode xmlns:a="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">a:InvalidSecurity</faultcode>
<faultstring xml:lang="en-US">An error occurred when verifying security for the message.</faultstring>
</s:fault>
</s:body>
</s:envelope>