我正在使用管理控制台在 Weblogic 12c(12.1.3)上部署JAX-WS Web服务。
在部署期间,在“可选设置”标签下的“安全”部分下,我确保选择“高级:使用您在领域的配置页面上配置的自定义模型。“选项。部署之后,我单击应用程序下的Web服务链接并使用“配置 - > WS-Policy ”选项卡,将端口与Weblogic策略“策略关联” :Wssp1.2-2007-HTTPS的UsernameToken的-Plain.xml ”
要限制对Web服务的访问,请转到“Security - > Policies”选项卡,并配置用户访问Web服务时必须具有的角色。
我面临的问题是,Weblogic似乎完全忽略了安全设置。我目前正在观察的行为是,任何发送带有有效用户名和密码的UsernameToken的SOAP请求都能够访问该服务。即使我将安全设置更改为“拒绝所有人访问”,也是如此!
另一个问题是,当我调用 WebServiceContext.isUserInRole(“someRole”)时,它总是返回 false ,即使用户有相关角色。
请注意,Weblogic配置为根据Oracle身份管理器对用户进行身份验证,并且还在那里配置角色。
知道我可能做错了吗?