我们正在使用 Apache Axis2 实现 Web 服务并与 WS-Security 集成(使用 Apache Rampart 模块)。
我们正在尝试定义 不强制消费者在 Usernametoken 中发送密码的 Ws-Security 策略,因为我们仅针对数据库验证用户名 - 实际身份验证是通过密钥交换(非对称绑定)机制执行的。
当我们尝试使用以下断言时,Axis2 只是忽略了NoPassword。
<sp:SupportingTokens>
<wsp:Policy>
<sp:UsernameToken>
<wsp:Policy>
<sp:NoPassword/>
</wsp:Policy>
</sp:UsernameToken>
</wsp:Policy>
</sp:SupportingTokens>
在Ws-Security中,NoPassword不是有效的断言吗?
框架:
Apache Axis2 v1.6.2
阿帕奇城墙 v1.6.2