1

我们想创建一个使用 WS 安全性但没有签名和加密的 PHP WSO2 Web 服务客户端。相反,我们想使用一个简单的密码。问题是:我们总是收到证书错误(见下文)。我们真的必须安装证书吗?如果是的话:在哪里?Java 密钥库?

环境:PHP 5.3.10、WSO2 PHP 2.10、Apache 2.2.x

wfs_client_log:

[错误] key_mgr.c(295) [rampart][rampart_signature] 未指定公钥证书文件。[错误] armart_signature.c(856) [rampart][rampart_signature] 无法获取证书 [错误] armart_sec_header_builder.c(131) [rampart][shb] 签名失败。错误 [错误] rampart_sec_header_builder.c(601) [rampart][shb] 非对称绑定失败 [error] rampart_out_handler.c(130) [rampart]安全标头构建失败。[错误] phase.c(224) 处理程序 RampartOutHandler 在阶段安全性内调用失败 [错误] engine.c(657) 调用阶段安全性失败

PHP代码是:

  <?php
    // Endpoint WebService
    $endPoint       = 'http://xxx.xxxx.xxx:7000/orabpel/selfservice/passwortAendernMBE/1.0';

    // Security-Payload
    $user           = 'mustermann123';
    $passwortAlt    = 'foo';
    $passwortNeu    = 'bar';

    // create Security-Token 
    $secToken       = new WSSecurityToken(array(
                                                    "user" => $user,
                                                    "password" => $passwortAlt,
                                                    "passwordType" => "PlainText"));
    // create SecurityPolicy 
    $policy         = new WSPolicy(array(
                                                    "security" => array(
                                                            "useUsernameToken" => TRUE)));
    // create WS-Client 
    $client         = new WSClient( array(
                                                    "to" => $endPoint,
                                                    "useSOAP" => "1.1",
                                                    "action" => "process",
                                                    "policy" => $policy,
                                                    "securityToken" => $secToken));
    // create SOAP-Payload
    $soapPayload = '
            <ns1:passwortAendern_processElement xmlns:ns1="http://xxxx.xxxx.xxxxxe/Integration/prozesse/xxxxxxSchema"
            xmlns:ns2="http://xxxx.xxxx.xxx/types/xx.xxx.xxxx.selfService.prozesse.xxx.xxxxMessage">
                    <ns1:passwortAendernMessage>
                            <ns2:benutzerkennung>' . $user . '</ns2:benutzerkennung>
                            <ns2:passwortAlt>' . $passwortAlt . '</ns2:passwortAlt>
                            <ns2:passwortNeu>' . $passwortNeu . '</ns2:passwortNeu>
                    </ns1:passwortAendernMessage>
            </ns1:passwortAendern_processElement>';

    // Request
    $soapResponse = null;
    try {
            // soap Request 
            $soapResponse   = $client->request( $soapPayload );

            // print out Response
            echo '<pre>';
            print_r(htmlspecialchars( str_replace('>','>'.PHP_EOL,$soapResponse->str ) ));
            echo '</pre>';

    } catch(Exception $e) {
            echo '<h1>Error:</h1>' . PHP_EOL;
            var_dump($e);
    }

// dump Soap-Parameters
echo '<h1>Soap-Parameter</h1>' . PHP_EOL;
var_dump($soapPayload);

// dump Soap-Response
echo '<h1>Soap-Response</h1>' . PHP_EOL;
var_dump($soapResponse);
4

3 回答 3

1

终于成功了!调用 Web 服务(使用上述向量/意图)现在可以工作了。

Nandika 的许多尝试和另一个示例后来我们发现,对我们(Matthias 和我)来说,更改 WS-SecurityPolicy 对象的创建就可以了。

而不是使用上面的数组作为初始化参数:

// create SecurityPolicy 
$policy  = new WSPolicy(array(
                 "security" => array(
                       "useUsernameToken" => TRUE)));

...我们现在使用这样的 xml-policy-file:

// load Policy (xml) file...
$policy_file = file_get_contents("policy.xml");

// ...and create SecurityPolicy
$policy = new WSPolicy($policy_file);

“policy.xml”的内容:

<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
    <wsp:ExactlyOne>
        <wsp:All>
            <sp:TransportBinding>
                <wsp:Policy>
                </wsp:Policy>
            </sp:TransportBinding>
            <sp:SignedSupportingTokens>
                <wsp:Policy>
                    <sp:UsernameToken
                        sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient">
                        <wsp:Policy>
                            <sp:WssUsernameToken10 />
                        </wsp:Policy>
                    </sp:UsernameToken>
                </wsp:Policy>
            </sp:SignedSupportingTokens>
        </wsp:All>
    </wsp:ExactlyOne>
</wsp:Policy>

开始使用带有 WS-Security WSF/PHP 2.1 的 WSO2 感觉相当棘手。因此,我将尝试列出一些知道(将会)帮助我节省时间的想法:

  • wsf/php 向我反映的最常见错误是(带有消息的异常对象):“错误,未收到响应”。现在几乎每当出现任何问题时都会发生这种情况,例如:

    • 我的 request-xml (-structure) 无效
    • 参数的类型不正确
    • webservice 抛出一个异常(任何异常:可能是因为错误的 WS-Security 用户/密码,缺少/未知的命名空间,甚至是一些“WS-Fault”类型的异常)
    • 服务端真的出了什么问题
    • php/wsf 端的错误配置/配置更改,不允许任何相关
    • 网络问题?(...还没有确定)
    • wso2 未发送任何请求(例如,当 TransportBinding -confinguration 出现问题时)

  • 有时我会得到一个 WS-Fault -ojbect(在响应信封中),我可以检查我的客户端代码 [$e typeof WSFault]

  • 附近总是有一个具有代理功能的工具来路由+检查您的请求和响应。目前我使用 Oracles JDeveloper 10 和 11,它们都有一个简洁的“HTTP 分析器”内部(但肯定有更小和/或更好的工具用于此目的)。

  • 玩弄 policy.xml 中的设置,我发现:

    • 有一个而不是需要的节点(在你的 security_policy.xml 中)你会得到一个 WS-Fault:“策略需要身份验证令牌”
    • 有一个空节点会导致连接在浏览器中终止并且 wsf/php 崩溃(没有显着的错误消息 - 据我所知)。

感谢大家(尤其是 Nandika)的帮助!

于 2012-05-21T15:48:59.620 回答
0

默认生成的策略失败,因为 wsf/php 2.1.0 版本期望为 $policy = new WSPolicy(array( "security" => array("useUsernameToken" => TRUE)));

尝试使用以下策略文件。 https://svn.wso2.org/repos/wso2/trunk/wsf/php/samples/security/username_token/call_back/policy.xml

您可以将策略加载为 $policy_file = file_get_contents("policy.xml"); $policy = 新的 WSPolicy($policy_file);

于 2012-04-16T07:03:28.570 回答
0

我曾经遇到过同样的问题,但它是关于 WSServer,而不是 WSClient。由于 2.1 版(或更早版本)WSF 认为 WS-Policy 默认已签名,因此您需要一个声明无签名行为的 WSPolicy 文件。我已经发布了一篇关于这个主题的文章,但它是用俄语写的。用谷歌翻译。

http://habrahabr.ru/post/132353/

于 2012-03-21T15:29:51.567 回答