我想构建一个受用户名和密码保护的简单示例Web服务。
作为起点,我使用了:https://docs.jboss.org/author/display/JBWS/WS-Security
问题:每个客户端即使有错误或缺少凭据也可以调用Web服务方法。所以@EndpointConfig似乎没有效果。 但我不知道如何深入挖掘,因为我无法通过调试和jboss管理控制台获得有关Web服务配置的更多详细信息。
Webservice类:
@WebService(serviceName="MyWebService", portName="MyWebServicePort")
@EndpointConfig(configFile = "WEB-INF/jaxws-endpoint-config.xml", configName = "myconfig")
public class MyWebService{...}
JAXWS端点-config.xml中:
<?xml version="1.0" encoding="UTF-8"?>
<jaxws-config xmlns="urn:jboss:jbossws-jaxws-config:4.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:javaee="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="urn:jboss:jbossws-jaxws-config:4.0 schema/jbossws-jaxws-config_4_0.xsd">
<endpoint-config>
<config-name>myconfig</config-name>
<property>
<property-name>ws-security.username</property-name>
<property-value>myusername</property-value>
</property>
<property>
<property-name>ws-security.password</property-name>
<property-value>mypassword</property-value>
</property>
</endpoint-config>
</jaxws-config>
是否有任何建议未经授权的客户被拒绝?
答案 0 :(得分:1)
您基本上需要在WSDL中发布策略。
您必须添加WSDL的绑定部分。
<binding name="SecurityServicePortBinding" type="tns:ServiceIface">
<wsp:PolicyReference URI="#SecurityServiceSignThenEncryptPolicy"/>
...
</binding>
在WSDL中添加策略定义本身。
<wsp:Policy wsu:Id="SecurityServiceSignThenEncryptPolicy" xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<wsp:ExactlyOne>
<wsp:All>
<sp:AsymmetricBinding xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
....
</wsp:ExactlyOne>
</wsp:Policy>
当您点击服务URL(例如http://localhost:8080/yourservice?wsdl)时,您应该能够在返回的WSDL中看到策略引用。否则,不会发生身份验证/加密。