7

我正在使用 Apache CXF 构建 Web 服务。它使用 Apache WSS4J 来提供 WS-Security 功能。我需要发出一个 SOAP 请求并且它必须被签名。

这是我传递给 WSS4J 的属性文件的内容:

org.apache.ws.security.crypto.provider = org.apache.ws.security.components.crypto.Merlin
org.apache.ws.security.crypto.merlin.keystore.type = PKCS12
org.apache.ws.security.crypto.merlin.keystore.provider = BC
org.apache.ws.security.crypto.merlin.keystore.password = 12345678
org.apache.ws.security.crypto.merlin.keystore.alias = my-alias
org.apache.ws.security.crypto.merlin.keystore.file = my_certificate.p12

我想用我的密码写成纯文本来摆脱那一行。我删除了该行并向我的 WSS4JOutInterceptor 提供了一个密码回调处理程序,就像上面的代码一样:

public SoapInterceptor newSignerInterceptor() {
    Map<String, Object> outProps = new HashMap<String, Object>();
    outProps.put(WSHandlerConstants.ACTION, "Signature");
    outProps.put(WSHandlerConstants.USER, config.getKeyAlias());
    outProps.put(WSHandlerConstants.SIG_KEY_ID, "DirectReference");
    outProps.put(WSHandlerConstants.USE_REQ_SIG_CERT, WSHandlerConstants.SIGNATURE_USER);
    outProps.put(WSHandlerConstants.USE_SINGLE_CERTIFICATE, "false");
    outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS, this.getClass().getName());
    outProps.put(WSHandlerConstants.SIG_PROP_FILE, config.getPropertiesFileName());
    return new WSS4JOutInterceptor(outProps);

}

@Override
public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
    for (int i = 0; i < callbacks.length; i++) {
        if (callbacks[i] instanceof WSPasswordCallback) {
            ((WSPasswordCallback) callbacks[i]).setPassword(password);
        }
    }
}

但这没有用。它在属性文件中找不到密码并使用默认密码“security”。

如何让它使用回调来获取密码?

4

2 回答 2

7

您可以实现CallbackHandler

public class PasswordCallbackHandler implements CallbackHandler {

    @Override
    public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
        for(Callback callBack:callbacks){
            if(callBack instanceof WSPasswordCallback){
                ((WSPasswordCallback)callBack).setPassword("password");
            }
        }
    }
}

然后将处理程序添加到属性中:

outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS, PasswordCallbackHandler.class);

您还可以使用 PW_CALLBACK_REF 设置处理程序的引用。

于 2014-07-08T23:40:42.420 回答
-1

Merlin 不会为 Keystore 密码调用回调,因此密码始终必须在属性文件中。幸运的是它可以被加密。

该解决方案在这里很好地描述了: 加密密码属性文件中的密码

从上面的链接复制的解决方案:

  1. 下载 jasypt-1.9.2-dist.zip
  2. 使用此命令获取编码密码encrypt input=real_keystore_password password=master_password algorithm=PBEWithMD5AndTripleDES
  3. 复制输出(例如:0laAaRahTQJzlsDu771tYi)
  4. 当您使用此算法时,您需要 Java Cryptography Extension (JCE) Unlimited Strength。放入你的JDK。

  5. 将编码后的输出放在属性中

    org.apache.wss4j.crypto.provider=org.apache.wss4j.common.crypto.Merlin

org.apache.wss4j.crypto.merlin.keystore.type=jks 
org.apache.wss4j.crypto.merlin.keystore.password=ENC(0laAaRahTQJzlsDu771tYi)

org.apache.wss4j.crypto.merlin.keystore.alias=my_alias 
org.apache.wss4j.crypto.merlin.keystore.file=/etc/cert/my_keystore.jks

  6. 在 CallbackHandler 中,输入您用来生成编码密码的 master_password:

    public class WsPasswordHandler implements CallbackHandler {
@Override
public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {

    for (Callback callback: callbacks){
        WSPasswordCallback pwdCallback= (WSPasswordCallback) callback;
        final int usage =pwdCallback.getUsage();
        if (usage == WSPasswordCallback.SIGNATURE || usage==WSPasswordCallback.DECRYPT) {
        pwdCallback.setPassword("parKeyPassword");
    }
    if (usage==WSPasswordCallback.PASSWORD_ENCRYPTOR_PASSWORD){
        pwdCallback.setPassword("master_password");
    }
    }           
}

    }

于 2018-02-20T17:45:27.430 回答