问题标签 [usernametoken]

I am using the usernameToken security policy to secure a soap webservice. I don't want the client to send the username/password on each requests. Is it possible to make the webservice statefull ? Currently the ServerPasswordCallback is called for each requests.

Here is my code :

ComputeWS.java

WSPolicy.xml

ServerPasswordCallback.java

我使用 Weblogic 12.1.2 作为 JavaEE 容器。我想使用我的自定义 ws-security 策略（因为 weblogic 预定义的 ws-plocies 有IncludeTimestamp并且我想删除这个标签）。因此，我需要策略的 xml 文件之一，例如 UsernameToken-Plain.xml 来编辑和使用它。我在哪里可以找到这个文件？

问候好人。

我有一个我想使用的肥皂网络服务。我创建了一个小项目来模拟实际项目中的要求，尤其是在用户名令牌加密方面。

提供了有关如何在客户端加密密码的步骤，如下所示：

• 写入未加密的密码值。
• 然后，使用密码密钥证书的公共部分加密在步骤 1 中创建的数据块。使用 RSA 算法，并使用 PKCS #1.5 填充（不是 OAEP），并将结果添加到加密流中——这成为通过 API 提交的加密密码。
• 使用 base64 编码将生成的加密字节数组转换为字符串。在 API 请求中将此 base64 编码字符串显示为发起方 SecurityCredential 值。
• 使用专门为此目的颁发给发起者的 X509 证书中的公钥加密的密码。

到目前为止，我已经能够创建客户端和服务器，并且能够发送请求并获得响应。

我还可以通过在 ClientPasswordCallback 类中将用户名令牌和密码作为纯文本传递并在 ServerPasswordCallback 类中检查这些凭据来保护 Web 服务。

我走得更远，在一个单独的请求中，使用wss4j、RSA、X509加密了消息的正文部分，其中我将公钥存储在 clientKey.jks 和私钥存储在 privateKey.jks 中，并在客户端和服务器密码回调处理程序 我已经能够在客户端加密正文部分并在服务器上解密它。

挑战：我遇到的主要挑战是将上述两个步骤组合在一个请求中，以便使用公钥，我能够加密用户名令牌中的密码并使用私钥在服务器端解密相同钥匙。

注意我已经使用 jdk 附带的 keygen 工具生成了用于测试的密钥。

我想象 ClientPasswordCallback 类中会有两个密码，一个用于 clientKey.jks 密钥库，另一个用于需要加密的密码。

这是我迄今为止能够存档的内容：

客户端

TestMathUtility 类

ClientPasswordCallback 类

}

服务器端

数学实用类

ServerPasswordCallback 类

cxf-beans.xml

clientKeyStore.properties 文件在服务器端使用相同的结构

未提供使用的 .jks 文件

注意我没有使用弹簧。

我试图在 mirc usign 正则表达式上仅捕获用户名的昵称，但我无法捕获这是我想要获取用户名的数据

并涉及此正则表达式代码：

这是关于正则表达式的：Regexer

我想获得第 1 组中的用户名。

所以有没有人有办法抓住这种情况？

:[ 标签 ] Xs_user 聊天 #test_channel :!hi <- 不工作！
:madhu CHAT #test_channel :!hi <- 这行得通

因此，如果 nick 是频道的运营商，则只需使用用户名即可进行比较。

我的要求是实现一种方法，通过使用传入的用户名、密码来生成 ws 安全标头。

因此，有人可以通过提供用户名和密码从 xslt 调用我的方法，并且我的方法应该能够返回安全标头，并且他们可以在soap请求中附加此安全标头以调用第三方 Web 服务。

我正在寻找可以通过获取用户名和密码来生成肥皂安全标头的 api。

我找到了需要端口和服务信息的 WSS4JOutInterceptor，但在我的情况下，我只有 2 个参数（用户名、密码）。

请建议除了创建 SoapEnvelop 并向其添加安全元素之外是否还有其他 api/方法？

在创建 shapchat ( https://www.snapchat.com/ ) 用户名​​时，我一直无法找到允许的字符。这里的任何人都可以分享他们对此的了解吗？

上下文：我正在创建一个用户名验证系统。

注意我已经尝试过support.snapchat.com - 但它没有提供有关用户名中允许的字符的信息。

我有一个肥皂 WS，需要添加 WS-Security usernametoken。我已经在服务器端实现了一个 SoapHandler（注释 @HandlerChain(file="handler-chain.xml") 实现类），它应该解析soapHeader 以查找用户名和密码以允许或拒绝对服务的访问。这是处理用户名令牌安全性的正确方法还是有更好的方法？我的处理程序是：

公共类 SecurityValidatorHandler 实现 SOAPHandler{

}

但是这种方式在尝试检查时不起作用

用于转换元素，它不是 SOAPElement 的实例，因此它不解析我的用户名和密码。我怎么能解决这个问题？提前致谢。

从昨天开始，我正在尝试通过 ws-security 将安全性集成到我的 Web 服务soap（使用 apache cxf）中。为此，我有以下配置： --my endppoint 及其拦截器配置：

}

--my PasswordCallBack 类处理程序：

}

--最后是我来自soapUI的soap请求：

从 SOAPUI 执行此请求时，我收到以下错误：

因此，我将查看部署了我的应用程序的 .ear 存档的 Wildfly 日志；在那里我看到了这个异常：

引起：org.apache.wss4j.common.ext.WSSecurityException：消息已过期

请帮我修复它，我是 ws-security 的新手。我不知道如何解决这个异常。

这是我需要从标头传递的安全 xml： 注意：我从 SOAP UI 获得了这个 xml。

我想知道如何在 WebSphere Liberty 中启用 WS-Security

我在 Liberty 配置文件的server.xml中创建了一个用户 ( soa_user ) 和用户组 ( soa_group ) 。下面提到的所有功能都已成功安装。

服务器.xml

我有两个模块，一个用于生成 EAR(ABCServiceEAR) 文件，另一个是 SOAPService(ABCSOAPService)

在src\main\webapp\WEB-INF\web.xml下的 ABCSOAPService 中，我创建了一个用户角色，如下所示

在resources\META-INF\ibm-application-bnd.xml下的 ABCServiceEAR 中，我已将上述用户角色分配给我在 liberty server.xml 中创建的组

我的目标是检查此用户是否已通过服务端点实现类进行身份验证，如下所示

我的 SOAP 标头如下

我得到的回应如下

即使我将soapenv:mustUnderstand 设置为“0”，应用程序也无法识别服务端点类中的用户（wsContext.getUserPrincipal() 为空）。

我是 WS Security 的新手，
有人可以告诉我如何实现这一目标吗？
我应该向我的 WSDL 添加什么？
或者是否可以在不更改 WSDL 的情况下全局配置安全性（可能在 Liberty 配置文件中）

更新

我在 {ProjectLocation}\src\main\webapp\WEB-INF\policy-attachments-server.xml 中提供了 ws-security 策略（策略附件），如下所示。

我仍然有同样的问题。