我们正在使用 Apache Axis2 实现 Web 服务并与 WS-Security 集成（使用 Apache Rampart 模块）。

我们正在尝试定义 不强制消费者在 Usernametoken 中发送密码的 Ws-Security 策略，因为我们仅针对数据库验证用户名 - 实际身份验证是通过密钥交换（非对称绑定）机制执行的。

当我们尝试使用以下断言时，Axis2 只是忽略了NoPassword。

在Ws-Security中，NoPassword不是有效的断言吗？

框架：

Apache Axis2 v1.6.2

阿帕奇城墙 v1.6.2

我们正在使用以下框架/模块/规范在我们的 Web 服务上实施 WS-Security Policy。

Apache Axis2 1.6.2
Apache Rampart 1.6.2
WS-Security Policy 1.2（命名空间：http ://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702 ）

我们在创建/使用服务时面临以下问题。

1. Axis2 wsdl 生成逻辑忽略<sp:NoPassword/>断言。调试后，我意识到这是因为 org.apache.ws.secpolicy.model.UsernameToken (rampart-policy-1.6.2.jar) 中的逻辑 需要指定<sp:WssUsernameToken11 />( or <sp:WssUsernameToken10 />) - 当我再次指定时，被<sp:NoPassword/>创建为<sp:WssUsernameToken11 />导致<sp:NoPassword/>在客户端（消费者）端被忽略的子元素。
2. 在实现org.apache.rampart.PolicyBasedResultsValidator/handleSupportingTokensmethod-NoPassword场景时不考虑；因此它总是失败说“org.apache.axis2.AxisFault：请求中缺少用户名令牌”。
3. 在消费者方面，要使 WS 安全策略 1.2 起作用，我们必须从客户端壁垒存储库中删除 rahas-1.6.2.mar；还有一个 JIRA 票证 - https://issues.apache.org/jira/browse /RAMPART-371

如果我在这里错过了什么，请提出建议。

我正在使用 Axis2 和 Rampart 开发安全的 Web 服务并将其部署在 jBoss 上。在 jBoss 上成功部署服务后，我使用 SoapUI 来测试服务。我收到以下错误：

wsse：InvalidSecurity 预期传​​输是“https”，但发现传入传输：“http”

如何使用 SoapUI 配置 HTTPS 传输？

我需要从部署在axis2-tomcat 中的web 服务内部使用一个安全的web 服务。

我的问题是使用安全 Web 服务所需的资源。例如，在充当此安全 Web 服务客户端的类中，我可以这样做：

或者

但是，如果我把这个类放在我的网络服务中，我当然可以找到我的网络服务中的这些资源。

有小费吗。

我在axis2中开发的Web服务中有一个Web服务客户端。Web 服务客户端需要一些壁垒依赖项来构建肥皂消息，并且还需要用户的密码。

密码取自此类：PWCBHandler，我将此类放在包含 Web 服务客户端到另一个 Web 服务的 Web 服务中。

并以这种方式从策略中加载该类

问题是壁垒在此代码行中找不到类：

我的问题是：我需要把这个类放在哪里才能从壁垒配置加载它？

目前我正在尝试将rampart mar文件包含在我的项目中，但是当转到File -> Project Structure -> Dependencies -> Add Jars or directories然后导航到壁垒模块文件夹时，它不显示该rampart-1.6.2.mar文件。

我检查了module包含rampart-1.6.2.mar文件，但 intellij 无法识别它。

我什至尝试使用以下选项添加它：

• File -> Project Structure -> Dependencies -> Library
• File -> Project Structure -> Dependencies -> Module

我也搜索过是否有任何.mar文件插件，但没有运气。

我怎样才能包含rampart.mar文件，请帮助。我在用：

• Intellij 12.1.4
• 城墙1.6.2
• java-1.7

谢谢

Edit:

I tweaked the Rampart configuration a little and I am now stuck at another point.

In Rampart's PostDispatchVerificationHandler an exception is thrown, because the security header hasn't been processed.

Log:

That is the security header:

That is Rampart's policy file:

The user credentials are set in the Java code:

Original Post:

I've been googling this error for days but I am out of ideas.

The code is generated by Axis2 for a SOAP webservice based on this WSDL: https://webservices.chargepoint.com/cp_api_4.1.wsdl

With soapUI everything works well and I can also get some mock responses with my code from my local Tomcat server. When trying to connect to the web service with my Java client I always receive this error:

org.apache.axis2.AxisFault: Must Understand check failed for header http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd : Security

That's my code (username and password are hidden):

That generates this request:

The exact same request works with soapUI.

I also receive a correct response by the server with my code:

But then the security module messes something up.

This is part of the debug log:

When I use

omSecurityElement.addAttribute("soapenv:mustUnderstand", "1", null);

instead of

block.setMustUnderstand(true);

The exception above is gone and I get this error:

With this code the error is gone but the issue remains.

That are the most interesting parts from the debug log:

Here you can see the whole debug log: https://drive.google.com/file/d/0B_iw7qzMyYhOSDNEMW5oOHgzY0k/edit?usp=sharing

If you have any advice how to solve that problem I would be very grateful.

我无法在我的 Maven 项目上执行全新安装。这是一个旧的 Web 项目，我使用 Eclipse Kepler 的“转换为 Maven 项目”功能将其转换为 Maven。我正在使用 JDK 1.6，项目和工作区的合规性也设置为 1.6。将项目转换为 Maven 后，我开始配置 pom。这在大多数情况下都很好。

不幸的是，一旦我部署到本地 Tomcat 3.0.36 服务器，在运行时，我发现更多错误表明缺少 Jars；这是意料之中的，缺少的两个被添加到 pom 中。一旦将这两个 jars 添加到 pom 中，我就无法构建，因为 Maven 说由于未经授权，它无法将依赖项从 Maven 的中央存储库转移到我的本地存储库。

我的配置中没有设置代理，而且我几乎可以肯定我不需要设置它们，特别是因为我可以检索其他依赖项及其元数据，而不是这两个罐子。我确实在我的 Maven 设置中配置了一个镜像，就像中央超载时的备份一样。

有谁知道这里发生了什么？是否与错误日志中的“shibboleth”URL 有关？我是否需要排除所有壁垒依赖项并手动将它们添加到 POM 中？

错误日志：

这是我的pom：

我已经在 linux ubuntu 服务器上安装了 weblogic 11g。我已经在 weblogic 上部署了我的 web 服务。当我试图从 SOAP UI（安装在我的本地窗口机器上）访问我的 web 服务时，我得到了下面提到的异常。

我的类路径中有我的 jks 文件。经过一番谷歌搜索后，我发现 Rampart 正在查看错误的 cacerts 文件，如下所示：

http://emelnikov.blogspot.in/2013/04/org.html

我在我的 services.xml 中添加了属性，但我仍然遇到同样的错误。我添加了以下属性：

请注意，当 web 服务部署在安装在 windows 环境中的 weblogic 上时，一切正常。

请帮助我确定我缺少什么。

提前致谢。

当我使用代理服务调用 SecureStockQuoteProxy 服务时出现以下异常。在这里，我将此安全服务公开为 REST API（不安全）。当我调用 REST API 时，ESB 抛出以下错误。

在示例axis2Server后端中，可以看到以下错误