サーバーでは、クライアントが派生キーを使用しているかどうかを確認するにはどうすればよいですか?
私は、WSS4J を使用して JAX-WS プロジェクトに取り組んでいます。
パスワード派生キー(salt + iteration)を使用して、UsernameTokenで動作するコードを作成することができました。
- サーバーはユーザー名/パスワードを生成し、クライアントに提供します
- クライアントは、それらの情報を使用してエンドポイントにアクセスします。
そして、クライアントにパスワード派生のみの方法を使用させたい
禁止されている
<wsse:UsernameToken wsu:Id="Example-1">
<wsse:Username> ... </wsse:Username>
<wsse:Password Type="..."> ... </wsse:Password>
<wsse:Nonce EncodingType="..."> ... </wsse:Nonce>
<wsu:Created> ... </wsu:Created>
</wsse:UsernameToken>
でなければなりません
<wsse:UsernameToken wsse:Id="…">
<wsse:Username>…</wsse:Username>
<wsse11:Salt>…</wsse11:Salt>
<wsse11:Iteration>…</wsse11:Iteration>
</wsse:UsernameToken>
実際にそれらを強制することはできますか?
Handler で確認するにはどうすればよいですか?
WSS4Jの使い方を教えてもらえますか?