如何在WebSphere Liberty中启用UsernameToken WS-Security
我想知道如何在WebSphere Liberty中启用WS-Security
我在Liberty个人资料的server.xml中创建了一个用户(soa_user)和用户组(soa_group)。下面提到的所有功能都已成功安装。
server.xml
<server description="new server">
<!-- Enable features -->
<featureManager>
<feature>javaee-7.0</feature>
<feature>jdbc-4.1</feature>
<feature>localConnector-1.0</feature>
<feature>ssl-1.0</feature>
<feature>servlet-3.1</feature>
<feature>wsSecurity-1.1</feature>
<feature>appSecurity-2.0</feature>
<feature>jaxws-2.2</feature>
</featureManager>
<keyStore id="defaultKeyStore" password="yourPassword" />
<basicRegistry id="basic" realm="Authentication">
<user name="soa_user" password="testUserPassword" />
<group name="soa_group">
<member name="soa_user" />
</group>
</basicRegistry>
<httpEndpoint host="*" httpPort="8080" httpsPort="9443" id="defaultHttpEndpoint" />
.....
</server>
我有两个模块,一个用于生成EAR(ABCServiceEAR)文件,另一个是SOAPService(ABCSOAPService)
在src \ main \ WEB app \ we b-INF \ WEB . XML下的ABCSOAPService中,我创建了一个用户角色,如下所示
<security-role id="security_role_1">
<role-name>authenticated-user</role-name>
</security-role>
在 ABC 服务EAR 中的“资源\元-INF\ibm-application-bnd.xml我已将上述用户角色分配给我在自由服务器中创建的组.xml
<security-role name="authenticated-user">
<group name="soa_group" />
</security-role>
我的目标是检查这个用户是否通过了服务endpoint实现类的认证,如下所示
@javax.jws.WebService (endpointInterface="...",
targetNamespace="...",
serviceName="ABCService_1_0", portName="ABCServicePort_1_0",
wsdlLocation="WEB-INF/wsdl/ABCSOAPService.wsdl")
@HandlerChain(file = "/handlers.xml")
@DeclareRoles({ "authenticated-user" })
public class ABCSOAPServiceImpl implements ABCSOAPService {
@Resource
private WebServiceContext wsContext;
public void myMethod() {
if (!wsContext.isUserInRole("authenticated-user")) {
//do something
}
}
我的SOAP头如下
<soapenv:Header>
<wsse:Security soapenv:mustUnderstand="1" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<wsse:UsernameToken wsu:Id="UsernameToken-1314D8CB1A76EFB5F614902572284093">
<wsse:Username>soa_user</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">testUserPassword</wsse:Password>
<wsse:Nonce EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">cCdfT/hAg3p4vNwRHP/BMA==</wsse:Nonce>
<wsu:Created>2017-03-23T08:20:28.409Z</wsu:Created>
</wsse:UsernameToken>
</wsse:Security>
</soapenv:Header>
我得到的回应如下
<faultcode>soap:MustUnderstand</faultcode>
<faultstring>MustUnderstand headers: [{http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd}Security] are not understood.</faultstring>
即使我将soapenv:畅所欲言设置为“0”,应用程序也无法识别服务endpoint类中的用户(wsContext.getUserPrincipal()为null)。
我是WS Security新手,< br >有人能告诉我如何实现这一点吗?< br >我应该给我的WSDL添加什么?< br >或者有没有办法在不改变WSDL的情况下全局配置安全性(可能在Liberty配置文件中)
更新
我已经在{ project location } \ src \ main \ WEB app \ we b-INF \ policy-attachments-server . XML中提供了ws-security策略(策略附件),如下所示。
<attachments
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
xmlns:wsp="http://www.w3.org/ns/ws-policy"
xmlns:wsa="http://www.w3.org/2005/08/addressing"
xmlns:sp13="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200802"
xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
<wsp:PolicyAttachment wsdlNamespace="com.my-service.sales.servs.MyService">
<wsp:AppliesTo>
<wsa:EndpointReference>
<wsa:Address>http://localhost:9080/sales/servs/MyService_1_0</wsa:Address>
</wsa:EndpointReference>
</wsp:AppliesTo>
<wsp:Policy wsu:Id="UsernameTokenwithPasswordHashoverSSL">
<wsp:ExactlyOne>
<wsp:All>
<sp:SupportingTokens>
<wsp:Policy>
<sp:UsernameToken
sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient">
<wsp:Policy>
<sp:WssUsernameToken10 />
</wsp:Policy>
</sp:UsernameToken>
</wsp:Policy>
</sp:SupportingTokens>
</wsp:All>
</wsp:ExactlyOne>
</wsp:Policy>
</wsp:PolicyAttachment>
</attachments>
我仍然有同样的问题。
共有2个答案
在policy-attachments-server.xml中,使用wsp: URI,而不是wsa: Endpoint参考
您需要在服务中附加ws-security策略。您可以在WSDL中添加ws-security策略,也可以在web-inf目录中创建策略附件文件(http://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.wlp.zseries.doc/ae/twlp_dep_policyattach.html).
我们为您的场景提供了策略示例和配置选项,请参阅https://www . IBM . com/support/knowledge center/SSEQTP _ liberty/com . IBM . WebSphere . WLP . nd . multi platform . doc/AE/cwlp _ ws sec _ ut oken . html。
-
问题内容: 尝试执行以下行时,仅显示最后两个语句(“ Here is some ERROR”和“ Here is some FATAL”),并且不显示前三个语句。我刚刚开始学习此主题,任何人都可以告诉为什么会这样呢? log4j.property有 问题答案: 您可能在项目中的某个地方有一个log4j.properties文件。在该文件中,您可以配置所需的调试输出级别。请参阅以下示例: 第一行将根
-
问题内容: 我使用Flickr照片搜索API的JavaScript创建了一个演示。现在,我将其转换为AngularJs。我在互联网上搜索,发现下面的配置。 组态: 服务: 控制器: 问题答案: 你不知道 您请求的服务器必须实现CORS才能从您的网站访问权限中授予JavaScript。您的JavaScript无法授予自己访问其他网站的权限。
-
问题内容: 标题说说我的问题。我需要将DTO包装到javascript方法回调中。目前,我应要求返回JSON。但是在Ajax中使用此问题,因为我将GET发送到其他域。当然还有治安警察。 我有创建附加提供的想法。有任何示例,链接或建议如何执行。 问题答案: RESTEasy中没有明确支持JSONP,但是在应用程序中启用JSONP的一种简单方法是编写Servlet过滤器。 这里有一些链接可以帮助您编写
-
问题内容: 我正在尝试使用jquery提出跨源请求,但它一直被消息拒绝 XMLHttpRequest无法加载http:// …请求的资源上不存在“ Access-Control-Allow-Origin”标头。因此,不能访问Origin…。 我正在使用flask,heroku和jquery 客户端代码如下所示: 在heroku方面,我正在使用flask,就像这样 问题答案: 当我部署到Heroku
-
问题内容: 当我在MySQL中执行查询时,它返回一条错误消息,说明未启用InnoDB。当我单击存储引擎时,InnoDB被禁用。 如何启用InnoDB? 问题答案: 您需要在文件中启用它,然后重新启动服务器: http://dev.mysql.com/doc/refman/5.1/zh-CN/innodb- parameters.html#option_mysqld_innodb 或者,您可以在运行
-
问题内容: 如何在xampp中启用curl? 我的PHP Twitter应用程序需要curl函数。但是未在XAMPP中启用它。如何启用它。我没有选择这样做的选择。 问题答案: 您必须修改xampp文件夹中的php.ini文件。需要更改三个不同位置的三个文件。 请按照以下步骤在Windows中使用XAMPP启用curl库: 步骤1: 浏览并打开以下3个文件 第2步: 通过删除分号(;)取消注释php
-
我已经使用JavaScript为Flickr照片搜索API创建了一个演示。现在我把它转换成AngularJs。我在网上搜索了一下,找到了下面的配置。 配置: 服务: 控制器: 但是我仍然得到了同样的错误。以下是我尝试过的一些链接: XMLHttpRequest无法加载URL。访问控制不允许原点允许原点 http://goo.gl/JuS5B1
-
这个问题以前有人问过,但是建议的答案在最新的Java运行时引擎中不起作用。 如何在Java中启用SSLv3(访问制造商永远不会更新的旧网站——具体来说,是旧服务器中现已停产的戴尔DRAC 5卡)?SSLv3自update 31起已被禁用,但在过去可以通过编辑java.security文件重新启用。 在更新91中,此方法似乎不再有效。有没有新的方法可以做到这一点,或者我必须降级到Java的早期版本?