1

ユーザー名とパスワードで保護された単純なサンプル Web サービスを構築したいと考えています。

出発点として、https ://docs.jboss.org/author/display/JBWS/WS-Security を使用しました。

問題: クレデンシャルが間違っていたり欠落していたり​​しても、すべてのクライアントが Web サービス メソッドを呼び出すことができます。したがって、 @EndpointConfig は効果がないようです。しかし、デバッグや jboss 管理コンソールで Web サービス構成に関する詳細情報を取得できなかったため、さらに深く掘り下げる方法がわかりません。

Web サービス クラス:

@WebService(serviceName="MyWebService", portName="MyWebServicePort")
@EndpointConfig(configFile = "WEB-INF/jaxws-endpoint-config.xml", configName = "myconfig")
public class MyWebService{...}

jaxws-endpoint-config.xml:

<?xml version="1.0" encoding="UTF-8"?>
<jaxws-config xmlns="urn:jboss:jbossws-jaxws-config:4.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xmlns:javaee="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="urn:jboss:jbossws-jaxws-config:4.0 schema/jbossws-jaxws-config_4_0.xsd">
  <endpoint-config>
    <config-name>myconfig</config-name>
    <property>
      <property-name>ws-security.username</property-name>
      <property-value>myusername</property-value>
    </property>
    <property>
      <property-name>ws-security.password</property-name>
      <property-value>mypassword</property-value>
    </property>
  </endpoint-config>
</jaxws-config>

許可されていないクライアントを拒否するための提案はありますか?

4

1 に答える 1

1

基本的に、WSDL でポリシーを公開する必要があります。

WSDL のバインディング セクションの下に追加する必要があります。

<binding name="SecurityServicePortBinding" type="tns:ServiceIface">
<wsp:PolicyReference URI="#SecurityServiceSignThenEncryptPolicy"/>
...
</binding>

ポリシー定義自体を WSDL のように追加します。 

<wsp:Policy wsu:Id="SecurityServiceSignThenEncryptPolicy" xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
 <wsp:ExactlyOne>
   <wsp:All>
    <sp:AsymmetricBinding xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
   ....
 </wsp:ExactlyOne>
</wsp:Policy>

サービス URL (例: http://localhost:8080/yourservice?wsdl) にアクセスすると、返された WSDL でポリシー参照を確認できるはずです。それ以外の場合、認証/暗号化は行われません。

于 2013-03-22T09:16:36.993 に答える