我们正在与之集成的供应商提供了一些 Web 服务功能......他们用 Java 开发了它，并且还给了我们一个示例客户端项目（Java），它显示了这些 Web 服务的使用情况。我们实际上想用 .NET 实现 Web 服务的消费/接口，但我们无法弄清楚安全性应该如何工作。

在他们的 Java 客户端示例中，他们似乎使用了一种叫做“Apache Rampart”的东西。他们的代码如下所示：

有人可以帮助我在.NET 世界中寻找我应该寻找的东西来做类似的事情吗？目前，在我的 .NET 项目中。我可以很好地使用他们的 WSDL，并且它生成的代理对象非常好，但是如果我尝试运行/调用任何函数，它会告诉我“缺少 SOAP 标头”，我相信它是安全的-有关的。

他们还为我提供了 policy.xml 文件。我是一个新手 .NET 程序员，我通常依赖 VStudio 生成的代理来处理任何与 WS 相关的编程，所以我不确定如何处理该 policy.xml 文件，也不知道他们所做的等效在 .NET 世界中的上述代码中。

我觉得我一直在关注这个问题。

背景：我必须调用一个安全的第三方网络服务。正文和标头块都需要使用客户端证书进行签名。如果我禁用 Rampart 并使用 tcpmon 并捕获传出信封，我可以配置 SOAPUI 来发送消息（通过配置 SOAPUI 以使用证书对前面讨论的重要部分进行签名）。这告诉我消息不是问题。

如果我启用 Rampart 并捕获传出消息，它看起来是正确的（两个元素已签名，安全元素都已到位）。

当我尝试使用 Rampart 调用服务时，我得到以下堆栈：

这是我正在使用的 policy.xml 文件：

所以我想知道的是 Rampart 到底想告诉我什么？我知道它认为不存在的组件就在那里。

我正在尝试运行此处描述的签名和加密示例https://www.ibm.com/developerworks/java/library/j-jws5/。运行客户端时出现以下错误，请帮助！

非常感谢，

客户端日志

运行：java 连接到http://localhost:8080/axis2/services/library-signencr java 16:32:59,188 错误 AxisEngine:211 - SOAP 标头缺少 java org.apache.axis2.AxisFault：SOAP 标头在 org. apache.rampart.handler.RampartReceiver.setFaultCodeAndThrowAxisFault(RampartReceiver.java:180) java at org.apache.rampart.handler.RampartReceiver.invoke(RampartReceiver.java:99)

Tomcat 日志

错误 org/opensaml/xml/validation/ValidatingXMLObject java.lang.NoClassDefFoundError: org/opensaml/xml/validation/ValidatingXMLObject

非常感谢。

我正在尝试使用 Axis2/Rampart 设置客户端，以创建对我的客户端托管的 WCF .net 服务的 WS-Security 调用。

我的客户收到错误消息：“通过传输安全性接收的消息具有未签名的 'To' 标头。”

有谁知道可能是什么问题？

在 Axis2 中部署 JAX-WS 服务时是否可以指定安全策略断言？到目前为止，我发现只有一种方法是全局配置策略（即在axis2.xml 中）。但它可以在 JAXWS JAR 中完成吗？

在服务器内部错误的情况下，axis2+rampart WS-Security 响应有问题。当服务器返回“200 OK”时，一切似乎都正常。如果响应具有正确的时间戳、签名和解密函数响应 XML，则由壁垒检查响应。但是当服务器返回“500 Internal Server Error”时，axis2/rapart 抛出异常：

我认为答案有问题并用soapUI对其进行了测试。安全和解密形式都有类似的响应。这些响应仅在 HTTP 状态、指示错误的 XML 响应代码和 SOAP 标记的大小写方面有所不同。在反应良好的情况下

如果出现错误：

其余的结构，包括mustUnderstand="1"是相同的。

在axis2.xml我配置InFlow并InFaultFlow与订单相同：

我启用了对我的客户的跟踪，如果反应良好，我会看到：

在出错的情况下没有这样的踪迹：

没有SecurityInHandler调用。

我想看到解密的消息，就像在“200 OK”状态或soapUI中一样。任何想法我的配置有什么问题？

编辑

我已经检查过，只有在“500 内部服务器错误”的情况下才会出现此类错误。如果服务器回复“200 OK”和相同的加密内容，则axis2能够解密它！

我们尝试添加Rampart到我们模块的 POM 文件中，但这样做之后，我们ear不能再以以下异常开始：

org.apache.log4j.Logger在两个 jar 中定义 -log4j和log4j-over-slf4j. 在log4j- 有一个构造函数：

里面有log4j-over-slf4j一个构造函数：

似乎由于某种原因Rampart触发了错误的类路径顺序并放置log4j-over-slf4j在log4j.

然而，最麻烦的问题是我们无法改变我们ear的清单来改变顺序——所以最终我们通过将log4jjar 添加到系统类路径来“解决”它

我的问题有两个部分：

1. 问题是否Rampart熟悉，是否有解决方案？
2. 改变耳朵的清单不会影响类路径的原因是什么？（我对应用程序服务器没有那么丰富的经验 - 欢迎提供明显的答案）

我们正在使用Weblogic 10.3和Rampart 1.5.1。我们正在使用Maven来编译和构建ear文件——我今天刚刚了解了一个mar文件，所以任何关于它的输入也将受到欢迎。

我正在使用 Axis2 创建一个 Web 服务，它使用 Rampart 进行身份验证。在 Rampart 的所有示例中，客户端需要有一个用于 Axis2 的客户端存储库。Rampart 在客户端启动如下：

方法 createConfigurationContextFromFileSystem 需要客户端上的 Axis2 存储库的路径，该存储库具有 armart.mar 文件。它显然需要一个完整的绝对路径，而不是相对路径。

但是，我正在使用 Java Web Start 部署我的客户端，我无法在可能需要运行客户端的每台机器上都放置一个 Axis2 存储库。它需要通过网络浏览器在任何机器上工作，因此客户端需要的所有内容都在 jar 中。有什么方法可以从我的客户端应用程序的 jar 中加载rampart.mar 文件？

另一种可能性是使用 ConfigurationContextFactory.createConfigurationContextFromURIs 方法，但这需要我在服务器上创建一个 axis2+rampart 的在线存储库。有人知道这方面的好指南吗？我还是更喜欢把所有东西都打包在罐子里。

我有一个 maven 项目，我在其中使用 axis2，它依赖于 armart-core 的安全性。Rampart 有一个默认的 log4j.properties 文件，它可以防止显示我的日志记录。我想从我的依赖项中排除该文件。如何在保持依赖关系的同时从依赖关系中排除文件？

我有一个服务可以在标头中接收 x.509 来对其进行身份验证，一旦我的客户端发送了对消息的请求，我想通过类似这样的方式获得带有壁垒的标头身份验证

，但我得到这个错误

请问有什么想法吗？