问题标签 [ws-security]

我们的团队正在使用 Spring-WS 和 XWSS 实现基于 SOAP 的 Web 服务。到目前为止，我们一直依赖 Spring-WS 从我们的 XSD 生成 WSDL。我们现在正在考虑是使用 WS-SecurityPolicy 在 WSDL 中记录安全需求，还是在单独的文档中传达它们。以下是我们正在思考的问题：

• 什么是常态？将策略放在 WSDL 中是否常见？

• 许多（任何？）客户端生成器在 WSDL 中获取 WS-SecurityPolicy 信息吗？

• Spring-WS 在生成 WSDL 时不支持 WS-SecurityPolicy。切换到 Apache CXF 对我们有帮助吗？

此外，我们知道 REST 越来越受欢迎，但 SOAP 已被当权者指定。谢谢！

我即将基于 Spring 框架为我的 RESTful 服务实现安全性。实际上，我以前从未保护过 RESTful WS，但我在这里给自己做了一个很好的介绍。基本上，建议使用 Amazon S3 甚至 OAuth 作为很好的示例。

我的问题：

1. Spring 框架是否提供了开箱即用的这些策略？
2. 如果是：是 Spring security 实现了这些策略吗？
3. 如果不是：您建议如何使用 Spring 实施这些策略（OAuth ...）？

提前感谢您的任何建议。

呃

我是 WCF 的新手，想知道是否可以做消息安全，我只为服务使用 x.509 证书，为客户端安全做 windows 凭据，这是可以接受的，它有效吗？尝试在网上搜索，但要么没有关于这种方法的讨论，要么我在我的谷歌搜索中输入了错误的措辞，非常感谢任何帮助，谢谢大家。

基本上，我的绑定中有这个：

关于我的行为：

所以开箱即用，WCF 不允许我发送 WS-Security 凭证纯文本，因为它们是 CXF 在接收端所期望的。似乎不同的 SecurityAlgorithmSuite 实际上并没有加密任何东西，但我不知道从哪里开始，至于我的“PlainTextSecurityAlgorithmSuite”中的各种属性应该返回什么值。有人做过吗？我认为这会解决我的问题是否正确？提前致谢。

1. 我用 JAX-WS 实现了一个 Web 服务，我的服务客户端也是用 JAX-WS 实现的，客户端可以通过 WS-Security 用户名令牌配置文件身份验证与服务通信。
2. 现在我想将此服务部署到 JBoss 4.2.3 并想用 Java EE 容器身份验证替换自定义身份验证。
3. 我阅读了一些关于 JBossWS 的文档，并通过更改/添加 web.xml、jboss-web.xml、jboss-wsse-server.xml、login-config.xml 进行了一些配置。但是 JBoss 总是向客户端发送 401 响应（客户端 SOAP 请求中包含正确的用户名令牌配置文件标头）。

任何帮助表示赞赏。

1. 是否可以通过 JBoss 配置来实现这样的要求？
2. 或者向我展示一个简单的示例/步骤，用于配置 JBoss 以使用 WSSE 用户名令牌配置文件进行身份验证。
3. 或者如何调试当前 JBoss 配置的问题。

我对必须使用 WS-Security 的 WebService 客户端有疑问。我的客户是用axis2. 当我不启用加密（当然使用我的服务器模拟器）时，它可以工作。我通过添加来启用加密axis.xml：

现在，当我使用参数从 Eclipse 调用客户端时：

我有：

我可以client.properties作为File对象打开。我尝试将此文件放在各种目录中或更改其名称以使用完整路径（在 Windows 上工作时都使用斜杠和反斜杠），但没有任何帮助。

我的 client.properties 文件如下所示：

知道为什么我会收到此错误吗？

我正在尝试使用 WS-UsernameToken 规范对 SOAP 请求进行身份验证，但目标设备始终拒绝访问。我的非工作请求看起来像这样。（我试图散列的密码是system。）

我正在寻找的是一个类似的请求示例，但具有实际有效的身份验证令牌。例如，如果您有使用这些令牌的 gSOAP 应用程序，并且可以生成请求并在此处发布结果，我将非常感激。

我正在为 Blackberry 开发一个应用程序，它使用托管在我们的公共 Web 服务器上的 .NET Web 服务。

我们使用 JSON 作为我们的数据交换格式。

到目前为止，我们一直在测试应用程序，一切正常，但有一件大事要解决：.NET Web 服务是公开的。如果您访问服务 URL： http: //www.whatever.com/myservice.asmx，您可以为参数赋值并调用服务。

显然，我们不想让它们公开可用，我们希望它们是安全的。

我一直在stackoverflow上阅读一些问题，但我没有找到一个好的答案。

我正在考虑为我拥有的每个 Web 服务添加一个“密码”参数，并在那里向服务器发送一个密码，以便它可以验证它是试图使用该服务的黑莓，而不是一些垃圾邮件发送者。该密码将作为黑莓执行的每个 JSON 请求中的字符串。

值得一提的另一件事是，我们有一个来自 GoDaddy 的简单网络托管解决方案，因此我们的托管是共享的，我们无法完全控制计算机。

这是一个正确的方法吗？

我在查询使用 WS-Security 的 web 服务时遇到问题。我使用axis2创建的代码和rampard实现WS-Security的模块。我认为我提出了很好的查询并得到了回复，但该回复有一些我的客户不理解的内容。异常看起来像：

我的rampard配置axis2.xml：

我可以在客户端做些什么来避免出现这种异常吗？

我尝试使用证书和私钥对消息进行签名以调用 java (JBoss) Web 服务，但服务器拒绝接受我的签名消息。它只会回显我发送的相同消息。

我已使用证书成功签署了传出消息，当我将其与 Web 服务创建者提供的示例消息进行比较时，消息的结构看起来还不错。

我使用如下所示声明的自定义绑定

结果消息如下所示

与 Web 服务一起使用的示例消息：

我的想法已经用完了，Web 服务创建者也没有提供任何信息来说明为什么我的消息不被接受。

有人有想法吗？

问候，西蒙