3

Java ベースの Web サービスの開発を担当するサード パーティから、メッセージ ヘッダーを次のようにする必要があるという要件が返ってきました。

<soapenv:Header>
 <wsse:Security>
     <xenc:ReferenceList>
        <xenc:DataReference URI="#EncDataId-1"/>
     </xenc:ReferenceList>
     <wsse:UsernameToken>
        <wsse:Username>[snip]</wsse:Username>
        <xenc:EncryptedData Id="EncDataId-1" Type="http://www.w3.org/2001/04/xmlenc#Element">
           <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
           <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
              <ds:KeyName>[snip]</ds:KeyName>
           </ds:KeyInfo>
           <xenc:CipherData>
              <xenc:CipherValue>[snip]</xenc:CipherValue>
           </xenc:CipherData>
        </xenc:EncryptedData>
     </wsse:UsernameToken>
  </wsse:Security>
</soapenv:Header>

このセキュリティ ブードゥー教の魔法についての非常に表面的な理解を考えると、このようなヘッダーを生成するようにクライアントを構成する方法を理解するのに苦労しています。現在、私のコードは次のようになっています。

client.ClientCredentials.UserName.UserName = "[snip]";
client.ClientCredentials.UserName.Password = "[snip]";

およびヘッダー:

<s:Header>
    <o:Security s:mustUnderstand="1" xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
        <o:UsernameToken u:Id="uuid-e906a1ca-aa63-474c-b4ac-cf9b90ab2435-1">
            <o:Username>[snip]</o:Username>
            <o:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">[snip]</o:Password>
        </o:UsernameToken>
    </o:Security>
</s:Header>

およびバインディング:

<binding name="SMSSoap11">
    <security mode="TransportWithMessageCredential" />
</binding>
4

1 に答える 1

1

WCFはこの出力を生成しません。あなたはこれのためにそして多分それ以上のためにあなた自身のトークンを書かなければならないでしょう。WCFは、すぐに使用できるプレーンパスワードを備えたユーザー名トークンのみをサポートし、コード例はユーザー名トークン仕様のどの部分にも見えません。目標がWS-Securityで暗号化されたパスワードを使用することである場合、セキュリティヘッダーは不完全であるように見えます。

WS-SecurityPolicyの観点からセキュリティ要件は何ですか?

于 2013-01-07T12:12:38.520 に答える