3

负责开发基于 Java 的 Web 服务的第三方向我们提出要求消息头需要如下所示:

<soapenv:Header>
 <wsse:Security>
     <xenc:ReferenceList>
        <xenc:DataReference URI="#EncDataId-1"/>
     </xenc:ReferenceList>
     <wsse:UsernameToken>
        <wsse:Username>[snip]</wsse:Username>
        <xenc:EncryptedData Id="EncDataId-1" Type="http://www.w3.org/2001/04/xmlenc#Element">
           <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc"/>
           <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
              <ds:KeyName>[snip]</ds:KeyName>
           </ds:KeyInfo>
           <xenc:CipherData>
              <xenc:CipherValue>[snip]</xenc:CipherValue>
           </xenc:CipherData>
        </xenc:EncryptedData>
     </wsse:UsernameToken>
  </wsse:Security>
</soapenv:Header>

鉴于我对这种安全巫术魔法的非常肤浅的理解,我无法弄清楚如何配置我的客户端来生成这样的标头。现在我的代码如下所示:

client.ClientCredentials.UserName.UserName = "[snip]";
client.ClientCredentials.UserName.Password = "[snip]";

和标题:

<s:Header>
    <o:Security s:mustUnderstand="1" xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
        <o:UsernameToken u:Id="uuid-e906a1ca-aa63-474c-b4ac-cf9b90ab2435-1">
            <o:Username>[snip]</o:Username>
            <o:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">[snip]</o:Password>
        </o:UsernameToken>
    </o:Security>
</s:Header>

和绑定:

<binding name="SMSSoap11">
    <security mode="TransportWithMessageCredential" />
</binding>
4

1 回答 1

1

WCF 不会为您生成此输出。您将不得不为此编写自己的令牌,甚至更多。WCF 仅支持开箱即用的普通密码的用户名令牌,您的代码示例甚至看起来不像用户名令牌规范的任何部分。如果目标是在 WS-Security 中使用加密密码,那么安全标头似乎不完整。

您应该问 Java 开发人员在 WS-SecurityPolicy 方面的安全要求是什么?

于 2013-01-07T12:12:38.520 回答