我需要一些有关 iOS 中 WSSE 标头生成的帮助。它是用 Symfony2 编写的应用程序，它使用sha512算法和5000 次迭代，并且encode_as_base64为真。对于移动应用程序，我发现了这个用于编码密码的问题：SHA512 with salt for iOS尽管它只是一次迭代。使用包含最后一个循环的简单循环就足够了吗？

我们找到了 Android 生成 WSSE Headers 的代码：http: //obtao.com/blog/2013/09/how-to-use-wsse-in-android-app/可以在iOS 还是我们应该寻找另一种身份验证方式，例如 OAuth2？

我需要创建一个符合 Oasis 2004 标准的安全 WCF Web 服务（http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd）

我收到了示例请求，这些请求将由第 3 方发送给我。请求的正文并不重要，但我将在此处显示标头（某些数据已更改以保护身份）：

从 Header 中可以看出，安全性使用了 Password-Digest 和 Nonce。我需要能够在 WCF 服务中使用这些详细信息对用户进行身份验证。（安全不能更改，因为第三方的系统被许多其他人使用）

到目前为止，我已经设置了一个简单的 WCF 服务，其中包含数据合同、操作合同和服务合同。我使用了带有自定义 MembershipProvider 的 wsHttpBinding。请参阅下面的 WCF 服务 Web.config 的相关部分：

这是我对会员提供程序的实现：

如您所见，它没有为我提供检查密码摘要是否有效的要求参数。我需要标题密码摘要、随机数、创建日期和用户名。这样我就可以生成自己的密码摘要（使用以下算法）以检查发送的密码是否使用正确的密码生成。

密码摘要算法（伪代码）：

创建自定义成员资格提供程序并没有为我提供使用密码摘要安全性所需的功能。

我应该做些什么不同的事情，在 WCF 服务中实现 WSSE 密码摘要安全性的最佳实践是什么？

我想将我的 SOAP 服务配置为通过 WS 安全性对其进行授权，并在标题部分仅使用用户名和密码来处理帧。默认配置迫使我使用这样的标题：

我只想使用：

我怎样才能实现它？有什么简单的方法吗？

我正在 symfony2 中进行 wsse 身份验证。T 完美地遵循了他们的步骤，然后我在 helloWorld 函数上进行了尝试：

它的路线： http://localhost/Symfony/web/app_dev.php/api/helloworld

但我收到此错误：

我已经仔细检查了我的 services.yml 文件是否有任何错误，并且我已经在网上搜索了 4 小时以获得答案，但我仍然卡住了。

这是 bundle 的 services.yml：

那是我的wsse工厂：

我已经建立了一个基于 Symfony 的 API，它被一个完全依赖于它的 Angular 前端使用（包括用户注册）

我已阅读推荐使用 WSSE 或 FOSOAuthServerBundle 的多个线程，但我不确定最佳方法？

如果我理解正确，WSSE 必须为每个 API 请求发送 x-wsse 标头，这让我认为它不是最适合性能的。

关于 FOSAuthServerBundle，我从未使用过它，而且与 WSSE 相比，我看起来有点复杂，因此这就是为什么我在尝试实现它之前要问那里的原因。

我有 2 个简单的用户组（基本和管理员），保护我的 API 的最佳方法是什么，另外提供一种简单的方法来保持用户持久性（我的意思是通过不同页面进行访问）？

它应该如何在 Angular 前端？

谢谢你的帮助。

参考：http : //blog.tankist.de/blog/2013/07/16/oauth2-explained-part-1-principles-and-terminology/

http://obtao.com/blog/2013/06/configure-wsse-on-symfony-with-fosrestbundle/

我在 Symfony API 上设置 wsse 安全性时遇到问题。我正在关注教程Configure WSSE on Symfony with FOSRestBundle based on How to Create a custom Authentication Provider

问题是：

• 我如何设法将 FOSUserBundle 与 WSSE（尤其是 salt）一起使用？我不希望前台检索发送请求的每个用户的盐。

• 我想让注册路由匿名可达，每次我尝试 HTTP 请求而不发送 x-wsse 时，我都会收到一个错误：

  /li>

应用程序/配置/security.yml

WsseProvider

WsseUserToken

WsseListener

任何帮助都非常感谢，这让我很生气......

我需要实现符合Phase II CORE 270 Connectivity Rule规定的规范的 WCF 服务。svcutil.exe我使用和提供的wsdl生成了服务。

鉴于我们选择通过 SSL 上的用户名/密码来处理安全性以及 SOAP 1.2 寻址的要求，我将服务配置为

自定义绑定：

WSDL生成的与WSDL规范提供的匹配。使用提供的肥皂消息：

并且SoapUI，我收到一个

System.ServiceModel.Security.MessageSecurityException, System.ServiceModel, 安全处理器无法在邮件中找到安全标头。这可能是因为消息是不安全的错误，或者是因为通信双方之间存在绑定不匹配。如果为安全配置了服务并且客户端未使用安全性，则可能会发生这种情况。

似乎服务不理解 wsse 命名空间前缀，就好像我将命名空间前缀翻转到o服务没有请求问题一样。

编辑

我似乎找不到绑定中的不匹配或他们的消息表明我在追错树的问题。任何其他潜在线索都会有所帮助。有没有办法使自定义绑定与SOAP1.2 寻址可与提供的SOAP消息互操作？

我尝试使用此代码使用 wsse 启用 SAOP 请求，但它不起作用。我能得到一些帮助吗？

这是我的 app.config

我使用过 SOAP，但这是我第一次增加安全性。

我想要一个 wsse 安全标头，其中密码类型设置为“PasswordText”，如下面的 SOAP 片段所示：

但我得到的只是一个没有 Type 属性的简单密码标签。

在代码或 app.cfg 中指定它的正确方法是什么？到目前为止，这是我的代码：

我安装了带有 FosUserBundle（用户）、FosRestBundle（API）和 NelmioCorsBundle（CORS）的 Symfony 2.7。我遵循了一些指南，这些指南是在 FosUserBundle 使用带有盐的 SHA512 进行密码加密的（如果我理解得很好的话）时间编写的。

我的 Symfony 上有一个工作的 WSSE 服务器，我正在尝试以安全的方式从 Javascript 客户端发出请求。使用旧的“SHA15 + salt”方式，我知道如何做到这一点：用于在客户端获取 salt 的公共 api，我们在通过 WSSE 标头发送之前“在数据库中”重新创建加密密码。我认为这也有利于将密码保存在缓存中（比未加密的密码更好）。

但是由于 bcrypt 有一个内置的盐，我怎样才能在客户端生成加密密码？当然，一种解决方案是停止使用 bcrypt 并开始使用 SHA512 + salt 但不太安全；其他解决方案类似于 oauth2 和 HTTPS，但我现在想找到一个没有 HTTPS 的安全解决方案。

有什么线索吗？

谢谢 ！