5

私はいくつかのチュートリアルのマッシュアップに従いましたが、どちらもうまくいきませんでした!

Apache CXF と WS-Security に Spring Security オーセンティケーターにコールバックさせようとしています。すべてがほぼ機能していますが、WS-call back から Spring セキュリティを提供するためのパスワードを取得するのに問題があります。

以下のハンドラーはかじられますが、pc.getPassword() は null です。これを Soap で送信されるパスワードにして、Spring に渡すことができるようにしたい

public class ServerPasswordCallback implements CallbackHandler {

public void handle(Callback[] callbacks) throws IOException, 
    UnsupportedCallbackException {

    WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];

    pc.setPassword( pc.getPassword() );
}

私のインターセプターはそのように設定されています

 <bean id="wsAuthenticationInterceptor" class="com.olympus.viewtheworld.server.security.auth.WSAuthenticationInInterceptor">
    <constructor-arg index="0">
        <map key-type="java.lang.String" value-type="java.lang.Object">
            <entry key="action" value="UsernameToken" />
            <entry key="passwordType" value="PasswordText" />
            <entry key="passwordCallbackClass" value="com.olympus.viewtheworld.server.security.auth.ServerPasswordCallback" />
        </map>
    </constructor-arg>
    <property name="authenticationManager" ref="authenticationManager"/>
</bean>

 <jaxws:endpoint id="secureHelloService"
                 implementor="#secureHelloServiceImpl"
                 implementorClass="com.olympus.viewtheworld.server.service.Impl.SecureHelloServiceImpl"
                 address="/SoapService/secure/hello">
    <jaxws:serviceFactory>
        <ref bean="jaxws-and-aegis-service-factory" />
    </jaxws:serviceFactory>
    <jaxws:inInterceptors>
        <bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor"/>
        <ref bean="wsAuthenticationInterceptor" />
    </jaxws:inInterceptors>
</jaxws:endpoint>

そして、私が SoapUI から送信している SOAP リクエストは

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:test="http://test/">
   <soapenv:Header>
<wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:UsernameToken>
<wsse:Username>rob2</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">passwordxx</wsse:Password>
</wsse:UsernameToken>
</wsse:Security>
</soapenv:Header>
   <soapenv:Body>
      <test:hello>
         <!--Optional:-->
         <hello>asdf</hello>
      </test:hello>
   </soapenv:Body>
</soapenv:Envelope>

バージョンに関しては、Spring 3.1 および CXF 2.7.0 です。

ServerPasswordCallback クラスで「passwordxx」を確認するにはどうすればよいですか? それは SOAP リクエストですか、設定ですか、それとも単に間違っていますか?!

乾杯、ロブ

4

2 に答える 2

1

org.apache.ws.security.handler.WSHandlerConstants.PW_CALLBACK_CLASSユーザーが提供したパスワード自体ではなく、保存されたパスワードを使用してメソッドを呼び出しpc.setPasswordて、ユーザーが提供したパスワードを引数として比較する必要があることがドキュメントから明らかです。

このタグは、パスワードの取得に使用される CallbackHandler 実装クラスを参照します。このタグの値は、j​​avax.security.auth.callback.CallbackHandler インスタンスのクラス名でなければなりません。コールバック関数

javax.security.auth.callback.CallbackHandler.handle(javax.security.auth.callback.Callback[])

org.apache.ws.security.WSPasswordCallback オブジェクトの配列を取得します。配列の最初のエントリのみが使用されます。このオブジェクトには、識別子としてユーザー名/キー名が含まれています。コールバック ハンドラは、返される前に、この識別子に関連付けられたパスワードまたはキーを設定する必要があります。アプリケーションは、次のメソッドを使用してこのパラメーターを設定できます。

call.setProperty(WSHandlerConstants.PW_CALLBACK_CLASS, "PWCallbackClass");

を使用してorg.apache.ws.security.validate.Validator、提供されたパスワードの有効性を確認し、Spring セキュリティ コンテキストを設定しています。

@Bean(name = "wssforjInInterceptor")
public WSS4JInInterceptor wssforjInInterceptor() {
    // Configure how we ask for username and password
    Map<String, Object> props = new HashMap<>();
    props.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
    props.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);

    // Password callback
    props.put(WSHandlerConstants.PW_CALLBACK_REF, passwordCallbackHandler());

    // Validator registration
    Map<QName, Object> validators = new HashMap<>();
    String WSS_WSSECURITY_SECEXT_1_0_XSD = "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd";
    QName qName = new QName(WSS_WSSECURITY_SECEXT_1_0_XSD, WSHandlerConstants.USERNAME_TOKEN, "");
    validators.put(qName, usernameTokenValidator());
    props.put(WSS4JInInterceptor.VALIDATOR_MAP, validators);

    WSS4JInInterceptor wss4jInInterceptor = new WSS4JInInterceptor(props);
    return wss4jInInterceptor;
}

そのアプローチが良いか悪いかはわかりませんが (これに関するフィードバックをいただければ幸いです)、おそらく次の人がこの問題に遭遇するのに役立つでしょう. Spring のセキュリティと CXF を統合する方法については、適切な最新のドキュメントが不足しているようです。

于 2014-03-26T13:00:33.787 に答える
0

わかりましたので、これは理想的な解決策ではありません。願わくば、もう少し後でこれを調べる時間があれば、より良い答えが得られることを願っています。

正規表現を使用して完全なパケットを検査し、パスワード フィールドを取り出します。コードは以下です。これはDefintleyではないので、これを行う正しい方法を見つけたら後で更新します!

 WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
        String mydata= pc.getRequestData().getMsgContext().toString();        
        Pattern pattern = Pattern.compile("<wsse:Password Type=\"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText\">(.*?)<");
        Matcher matcher = pattern.matcher(mydata);
        if (matcher.find())
        {
             pc.setPassword( matcher.group(1) );
        }
于 2012-12-02T13:06:50.283 に答える