5

我遵循了几个教程的混搭,但都不太成功!

我正在尝试让 Apache CXF 和 WS-Security 回调我的 Spring Security 身份验证器。一切都快要开始工作了,但是在获取密码以使 Spring 安全性脱离 WS 回调的时候,我遇到了问题。

下面的处理程序会出错,但 pc.getPassword() 为空。我希望这是在 Soap 中发送的密码,所以我可以将它传递给 spring

public class ServerPasswordCallback implements CallbackHandler {

public void handle(Callback[] callbacks) throws IOException, 
    UnsupportedCallbackException {

    WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];

    pc.setPassword( pc.getPassword() );
}

我的拦截器是这样设置的

 <bean id="wsAuthenticationInterceptor" class="com.olympus.viewtheworld.server.security.auth.WSAuthenticationInInterceptor">
    <constructor-arg index="0">
        <map key-type="java.lang.String" value-type="java.lang.Object">
            <entry key="action" value="UsernameToken" />
            <entry key="passwordType" value="PasswordText" />
            <entry key="passwordCallbackClass" value="com.olympus.viewtheworld.server.security.auth.ServerPasswordCallback" />
        </map>
    </constructor-arg>
    <property name="authenticationManager" ref="authenticationManager"/>
</bean>

 <jaxws:endpoint id="secureHelloService"
                 implementor="#secureHelloServiceImpl"
                 implementorClass="com.olympus.viewtheworld.server.service.Impl.SecureHelloServiceImpl"
                 address="/SoapService/secure/hello">
    <jaxws:serviceFactory>
        <ref bean="jaxws-and-aegis-service-factory" />
    </jaxws:serviceFactory>
    <jaxws:inInterceptors>
        <bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor"/>
        <ref bean="wsAuthenticationInterceptor" />
    </jaxws:inInterceptors>
</jaxws:endpoint>

我从 SoapUI 发出的肥皂请求是

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:test="http://test/">
   <soapenv:Header>
<wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:UsernameToken>
<wsse:Username>rob2</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">passwordxx</wsse:Password>
</wsse:UsernameToken>
</wsse:Security>
</soapenv:Header>
   <soapenv:Body>
      <test:hello>
         <!--Optional:-->
         <hello>asdf</hello>
      </test:hello>
   </soapenv:Body>
</soapenv:Envelope>

版本明智的是 Spring 3.1 和 CXF 2.7.0

我需要做什么才能在 ServerPasswordCallback 类中看到“passwordxx”?是肥皂请求,配置还是错误?!

干杯,罗伯

4

2 回答 2

1

从文档中可以org.apache.ws.security.handler.WSHandlerConstants.PW_CALLBACK_CLASS看出,该方法应改为pc.setPassword使用存储的密码调用以将用户提供的密码与作为参数进行比较,而不是用户提供的密码本身:

该标签是指用于获取密码的 CallbackHandler 实现类。此标记的值必须是 javax.security.auth.callback.CallbackHandler 实例的类名。回调函数

javax.security.auth.callback.CallbackHandler.handle(javax.security.auth.callback.Callback[])

获取 org.apache.ws.security.WSPasswordCallback 对象的数组。仅使用数组的第一个条目。该对象包含用户名/键名作为标识符。回调处理程序必须在返回之前设置与此标识符关联的密码或密钥。应用程序可以使用以下方法设置此参数:

call.setProperty(WSHandlerConstants.PW_CALLBACK_CLASS, "PWCallbackClass");

我正在使用 aorg.apache.ws.security.validate.Validator检查提供的密码的有效性,并在那里设置 Spring 安全上下文:

@Bean(name = "wssforjInInterceptor")
public WSS4JInInterceptor wssforjInInterceptor() {
    // Configure how we ask for username and password
    Map<String, Object> props = new HashMap<>();
    props.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
    props.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);

    // Password callback
    props.put(WSHandlerConstants.PW_CALLBACK_REF, passwordCallbackHandler());

    // Validator registration
    Map<QName, Object> validators = new HashMap<>();
    String WSS_WSSECURITY_SECEXT_1_0_XSD = "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd";
    QName qName = new QName(WSS_WSSECURITY_SECEXT_1_0_XSD, WSHandlerConstants.USERNAME_TOKEN, "");
    validators.put(qName, usernameTokenValidator());
    props.put(WSS4JInInterceptor.VALIDATOR_MAP, validators);

    WSS4JInInterceptor wss4jInInterceptor = new WSS4JInInterceptor(props);
    return wss4jInInterceptor;
}

我不确定这种方法是更好还是更差(我很感激对此的一些反馈),但也许它对下一个人遇到这个问题很有用。似乎缺乏关于如何集成 Spring 安全性和 CXF 的最新文档。

于 2014-03-26T13:00:33.787 回答
0

好的,所以这不是理想的解决方案,希望稍后会出现更好的答案,很可能是当我有更多时间看这个时。

我使用正则表达式检查完整的数据包并提取密码字段。代码如下。稍后当我找到正确的方法时会更新,因为这绝对不是它!

 WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
        String mydata= pc.getRequestData().getMsgContext().toString();        
        Pattern pattern = Pattern.compile("<wsse:Password Type=\"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText\">(.*?)<");
        Matcher matcher = pattern.matcher(mydata);
        if (matcher.find())
        {
             pc.setPassword( matcher.group(1) );
        }
于 2012-12-02T13:06:50.283 回答