我使用JAX-WS RT开发了一个简单的Web服务,并将其部署在Tomcat 6服务器上。我需要使用SOAP标头中的ws-security验证对我的Web服务的调用。
我的方法是使用链处理程序在soap标头中提取用户名和密码,并在我的代码中进行身份验证。这是否是正确的方法,如果没有,这是正确的方法是什么?
使用soapUI我通过以下标题发送
<soapenv:Header>
<wsse:Security soapenv:mustUnderstand="1"
xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:UsernameToken>
<wsse:Username>test</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">test</wsse:Password>
</wsse:UsernameToken>
</wsse:Security>
使用此标头我收到以下错误
<S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/">
<S:Body>
<SOAP-ENV:Fault xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
<faultstring>MustUnderstand headers:[{http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd}Security] are not understood</faultstring>
<faultcode>SOAP-ENV:MustUnderstand</faultcode>
</SOAP-ENV:Fault>
使用JAX-WS rt如何设置我的Web服务以接受此类型的标头并进行身份验证。
答案 0 :(得分:1)
使用链式处理程序是处理ws-security头的一种方法,与诸如rampart之类的框架相比,它只是一种较低级别的方法(尽管这些框架通常只为您实现这些处理程序)。如果您编写自己的消息处理程序,则必须覆盖
Set<QName> getHeaders()
声明您理解的标题。在这种情况下,返回一个包含
的集合QName("http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd", "Security")
避免“MustUnderstand”错误。