0

我们正在使用 Apache Axis2 实现 Web 服务并与 WS-Security 集成(使用 Apache Rampart 模块)。

我们正在尝试定义 不强制消费者在 Usernametoken 中发送密码的 Ws-Security 策略,因为我们仅针对数据库验证用户名 - 实际身份验证是通过密钥交换(非对称绑定)机制执行的。

当我们尝试使用以下断言时,Axis2 只是忽略了NoPassword

<sp:SupportingTokens>
    <wsp:Policy>
      <sp:UsernameToken>
        <wsp:Policy>
          <sp:NoPassword/>
        </wsp:Policy>
      </sp:UsernameToken>
    </wsp:Policy>
</sp:SupportingTokens>

Ws-SecurityNoPassword不是有效的断言吗?

框架:

Apache Axis2 v1.6.2

阿帕奇城墙 v1.6.2

4

1 回答 1

0

它在 WS-Security Policy 1.2 中是一个有效的策略断言,但它不是为策略语言 1.1 定义的。在 1.2 中编写您的策略,然后 Apache Rampart 将为您完成这项工作。请查看此 JIRA[1] 了解更多信息。

[1] - https://issues.apache.org/jira/browse/RAMPART-385

于 2013-09-21T11:16:19.560 回答