如何在获取WSDL时强制执行基本身份验证(服务器端)

时间:2013-04-05 08:37:07

标签: java web-services authentication wsdl server-side

我正在寻找一种方法来强制客户端在尝试检索我的WSDL文件时使用HTTP基本身份验证。 使用JAX-WS我创建了以下Web服务,我使用GlassFish 3:

@WebService(serviceName = "Hello")
@Stateless
public class HelloService {
    @WebMethod(operationName = "sayHello")
    @RolesAllowed("myrole")
    public String sayHello(@WebParam(name = "name") @XmlElement(required=true) String name){
        return "Hello "+name;
    }
}

在谷歌搜索后,似乎向web.xml描述符添加安全约束应该照顾这个,所以我做了

<session-config>
    <session-timeout>
        30
    </session-timeout>
</session-config>
<security-constraint>
    <display-name>HelloSC</display-name>
    <web-resource-collection>
        <web-resource-name>HelloRC</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
        <http-method>HEAD</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>myrole</role-name>
    </auth-constraint>
    <user-data-constraint>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>file</realm-name>
</login-config>

现在,当我部署并将浏览器指向http:// myserver / Hello时,浏览器会要求提供凭据。此外,sayHello方法只能使用正确的凭据使用。

问题: 到目前为止这么好但是如果我将浏览器指向WSDL(http:// myserver / Hello / HelloService?wsdl)我没有被要求提供凭据,它只是加载,并且它是一个要求它应该是密码保护

我的理解是url-pattern也应该适用于WSDL。毕竟这是一个GET请求......

任何指针?

编辑:所以我将.war部署到JBoss实例,它按预期工作。似乎GlassFish缺少一些配置。

2 个答案:

答案 0 :(得分:0)

您的配置看起来正确。我想如果您在新浏览器中打开http://example.org/Hello/HelloService?wsdl(或关闭当前浏览器的所有窗口再次打开它),您将需要执行基本身份验证。 这里的问题是,在第一次成功验证后,浏览器在每个请求中发送基本身份验证标头,并且请求由服务器验证。

在评论之后添加 请尝试添加其他http方法

<http-method>DELETE</http-method>
<http-method>PUT</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
<http-method>GET</http-method>
<http-method>POST</http-method>

答案 1 :(得分:0)

对于任何感兴趣的人,只有在GlassFish 3特定描述符中添加security-constraint后才能使用: 的 META-INF /的glassfish-ejb-jar.xml中

<glassfish-ejb-jar>
  <enterprise-beans>
    <ejb>
      <ejb-name>HelloService</ejb-name>
      <webservice-endpoint>
        <port-component-name>Hello</port-component-name>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </webservice-endpoint>
    </ejb>
  </enterprise-beans>
</glassfish-ejb-jar>

然后从 web.xml

中删除安全约束
相关问题
最新问题