- 浏览: 117892 次
- 来自: ...
文章分类
最新评论
检验了一下WS-Security的互操作情况,涉及到了4种WSS开发包:Websphere Web Services 1.0, JBossWS 1.0.2, WSS4J 1.5.0, WSE 3.0. 总体来说,JBossWS是功能最弱的一种,但配置最简单,Websphere Web Services是功能最强的一种,但配置最复杂;WSS4J和WSE介于两者之间
问题一:客户端用Websphere Web Services,服务端用JBossWS,使用UsernameToken时,<wsse:UsernameToken>缺了wsu:Id属性,JBoss会用异常来抱怨:
<wsse:UsernameToken xmlns:wsse="...">
<wsse:Username xmlns:wsse="...">ibm</wsse:Username>
<wsse:Password Type="..." xmlns:wsse="...">was</wsse:Password>
</wsse:UsernameToken>
org.jboss.ws.wsse.WSSecurityException: Invalid message, UsernameToken is missing an id at org.jboss.ws.wsse.element.UsernameToken.<init>(UsernameToken.java:60)
除Websphere Web Services外,其它3种开发包缺省都会为<wsse:UsernameToken>提供wsu:Id属性,除了JBossWS外,其它3种开发包都能处理<wsse:UsernameToken>不带wsu:Id属性的情况
问题二:客户端用Websphere Web Services,服务端用JBossWS,使用加密时,<EncryptionMethod>缺了显式的XML namespace 声明,JBoss会用异常来抱怨:
<EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />....<..>
</EncryptedKey>
<EncryptedData Id="wssecurity_encryption_id_3" Type="http://www.w3.org/2001/04/xmlenc#Content" xmlns="http://www.w3.org/2001/04/xmlenc#">
<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />....<..>
</EncryptedData>
org.jboss.ws.WSException: Content root name does not match element name: EncryptionMethod != {http://www.w3.org/2001/04/xmlenc#}EncryptionMethod at org.jboss.ws.soap.SOAPContentElement.expandToDOM(SOAPContentElement.java:818)
来看一下完整正确的SOAP片断(显式声明的xml名称空间):
<xenc:EncryptedKey xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" />...<...>..
</xenc:EncryptedKey>
<xenc:EncryptedData Id="..." Type="http://www.w3.org/2001/04/xmlenc#Content" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
<xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes256-cbc" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" />..<..>..
</xenc:EncryptedData>
除Websphere Web Services外,其它3种开发包缺省都会为<EncryptionMethod>提供显式的名称空间声明,除了JBossWS外,其它3种开发包都能处理<EncryptionMethod> without explicit namespace
问题三:JBossWS只支持DirectReference或说StraightReference的SecurityTokenReference,不支持KeyID, KeyName, X509Issuer, Embeded等方式,所以同时应用签名和加密的时候,就会出现两个<BinarySecurityToken>,这样另一方尤其是 .Net WSE就会晕菜了:<Header>中有两个Token,但是只期待一个
当然,这是通过WSE Tools选择了Certificate认证模式的结果,如果选择Anonymous,.Net会正确的处理带有多个BinarySecurityToken的SOAP请求,只不过Anonymous模式会掺杂进WSS1.1的特性:它产生的导致JBossWS晕菜的Response是这样的:
<wsse:SecurityTokenReference xmlns:wsse="..">
<wsse:KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#EncryptedKeySHA1" EncodingType="...">6LW6sXwrPX0SSBM4nV7OqgjUiv8=</wsse:KeyIdentifier>
</wsse:SecurityTokenReference>
WS-I Basic Profile 1.0 是不支持WSS1.1的
问题四:JBossWS和Websphere Web Services不支持UsernameToken的PasswordDigest方式,只支持PasswordText
<!--晕菜-->
<wsse:UsernameToken xmlns:wsu="..." wsu:Id="UsernameToken-5525185">
<wsse:Username>wss4juser</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest">WhTMH9PlZsmxrwDRkjgzbxPtZgM=</wsse:Password>
</wsse:UsernameToken>
<!--OK-->
<wsse:UsernameToken xmlns:wsu="..." wsu:Id="UsernameToken-5525185">
<wsse:Username>wss4juser</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">wss4jpass</wsse:Password>
</wsse:UsernameToken>
问题五:WSS4J不支持同时使用UsernameToken和Signature,如果UsernameToken的user和用于签名的X509Cert的subject不同的话
因为action="UsernameToken" 和 action="Signature" 使用相同的<parameter name="user" value="username.or.subject"/>来配置username或者subject;这是有理由的,因为UsernameToken和Signature都是用来表明自己身份的,当然Signature主要是校验SOAP消息没有被篡改;通常UsernameToken会和Encryption联合使用,或者Signature和Encryption同时使用;无论如何,这是WSS4J的一个缺陷
发表评论
-
The Object Primer
2004-12-11 11:21 5881,书名 被翻译成“ ... -
错误处理规范
2004-12-11 16:47 757错误处理规范 〇、概念澄清 概念 解释 错误 ... -
Java,误解为何如此之深
2005-08-24 13:50 593前几天被电话面试,问J ... -
Java:画蛇添足的编码规范
2005-09-02 13:13 607前几天公司培训编码规范: 第n条: ... -
synchronized : 规则, 推论与实践
2007-07-23 22:32 46414.3.Synchronization. Rule ... -
交互设计: 股市帮凶
2008-05-04 21:30 642同事 Y 在线操作股票时, 把"买入"点成 ... -
交互设计: 火车上的厕所
2008-05-26 17:17 606有人在动车组的厕所前等了很久, 直到乘务员路过说厕所是被锁住了 ... -
设计原则与模式: 案例介绍--CppUnit
2008-06-01 20:15 613设计原则与模式: 案例介绍--CppUnit CppUnit ... -
工作流:形参,实参,相关数据
2004-12-11 11:40 671关于形参,实参,相关数据 一、形参(FormalParame ... -
工作流:第一次发版,过程总结
2004-12-11 11:42 709交流 即时讨论:小组成员咫尺之遥,有问题立即提出并解决 ... -
工作流:第一次发版,设计总结
2004-12-11 11:43 610整体 面向接口:消息系统,持久系统等,其实现都是可替换 ... -
Beyond Workflow : An Introduction to Vitria BusinessWare
2005-09-26 10:13 803一、简介 Busines ... -
Vitria BusinessWare: 存储与访问安全
2006-03-26 15:45 746事实上,BusinessWare使用LDAP做为存储机制和 ... -
Vitria BusinessWare: 平台与软件总线
2006-04-01 12:59 838经过一段时间的使用 ... -
Vitria BusinessWare: Web Services
2006-04-01 14:30 739BusinessWare的Web Services ... -
Web Services:自洽,编码,交换模型
2006-04-01 16:02 6731, 自洽 以前曾经写过: 目前WebServi ... -
Web Services:WSDL 1.1 规范中的几个错误
2006-04-01 16:40 720读完了WSDL 1.1的规范,令人惊讶的是发现似乎例子中有几个 ... -
C++/CLI:被忽视的集成技术
2006-05-17 20:02 755十几行代码,就使一个重要的旧系统组件,完全融入了基于.Ne ... -
AJP/JK:异构Web平台的集成技术
2006-05-25 21:44 708Tomcat Connector 可以将Tomcat ... -
Vitria BusinessWare: 事件与端口
2006-05-27 17:24 656Event BusinessWare是一个事件驱动的系统 ...
相关推荐
WS-I(Web Services Interoperability Organization)发布了一系列基本配置文件,以指导开发者如何组合不同的Web服务标准来达到最佳的互操作性。 - **Basic Profile 1.1**: 该配置文件提供了实施指南,说明了如何将...
- **Web Services Interoperability (WS-I)**:WS-I 是一个由行业领导者组成的组织,致力于提高 Web 服务的互操作性。它发布了一系列指南和测试工具,帮助开发者确保他们的 Web 服务能够在不同的平台和技术之间顺畅...
2. **WS-I(Web Services Interoperability)相关JARs**:这些库确保了Web服务与其他平台和服务的互操作性。 - axis2-wsdl4j.jar:提供了对WSDL(Web服务描述语言)的支持。 - axis2-axis1-compat.jar:包含了与...
4. **消息引擎**:Axis2的消息引擎负责处理SOAP消息,包括解析、序列化以及处理WS-I(Web Services Interoperability)规范中的各种消息模式。 5. **服务组件模型**:Axis2支持多种服务组件模型,如AAR(Axis ...
《COM and .NET Interoperability》这本书由Andrew Troelsen撰写,是针对新老开发者的一本深入浅出介绍COM与.NET互操作性的参考书。全书共816页,通过详尽的内容帮助读者掌握如何在实际开发工作中有效地将COM和.NET...
- **WS-I (Web Services Interoperability Organization)**:一个开放的产业组织,其宗旨是促进Web服务在不同平台、操作系统和编程语言间的互操作性。WS-I社区由Web服务领域的领导者组成,他们通过提供指导、推荐...
OA-100BASE-T1-Interoperability-Test-Suite-V1.0-18
- WS-I(Web Services Interoperability):确保跨平台的Web服务互操作性的标准。 - JAXB(Java Architecture for XML Binding):Java到XML数据绑定的API,用于将Java对象转换为XML表示,反之亦然。 - MTOM和SwA:...
《G3-PLC - WS3 - MAC层 - 互操作性测试流程及测试套件》 本文档详细阐述了在WS3阶段针对CENELEC-A频段、FCC频段以及ARIB频段的G3-PLC协议MAC层上进行的新用户互操作性测试流程和测试套件。这些测试旨在确保不同...
- Java Web服务(Java Web Services)是使用Java技术栈创建的网络服务,遵循WS-I(Web Services Interoperability)标准,以XML格式交换数据,使得不同系统间可以互操作。 - 主要的Java Web服务框架有JAX-WS(Java...
在移动通信领域中,尤其是在短信业务中,CMPP(China Mobile Point to Point Protocol)是中国移动推出的一种短信网关协议标准,它主要应用于SP(Service Provider,服务提供商)与ISMG(Interoperability Service ...
Applied ADO.NET: Building Data-Driven Solutions 第二部分 Table of Contents Applied ADO.NET—Building Data-Driven Solutions Introduction Chapter 1 - ADO.NET Basics Chapter 2 - Data Components ...
3. **WS-I兼容性**:Web Services Interoperability (WS-I) 是一套确保不同平台间Web服务互操作性的标准。AXIS2遵循这些标准,确保其创建的服务能够跨平台顺利工作。 4. **消息传输**:AXIS2支持多种传输协议,如...
8. 无线城域网技术:例如WiMAX(Worldwide Interoperability for Microwave Access)技术,是一种移动宽带无线接入技术,提供了在城域网规模上实现无线通信的能力。 9. 同步光网络(SONET)和同步数字体系(SDH):...
第五章和第六章分别介绍了.NET服务器的架构和.NET类型的特性。这些章节为理解.NET组件的工作原理奠定了基础,包括命名空间、类、结构、枚举、接口和属性等概念。 #### .NET到COM的互操作性 第七章至第九章详细讨论...
此外, Axis 支持WS-Security、WS-Addressing等高级Web服务标准,增强了服务的安全性和互操作性。 6. **集成环境**: Axis 可以轻松地与各种Java应用服务器集成,如Tomcat、JBoss、WebLogic等,也可以独立运行。...
- **WS-*兼容性**:遵循WS-I(Web Services Interoperability)规范,确保与其他平台的互操作性。 在实际开发中,你可以通过编写服务类并将其打包成aar文件,然后放入仓库目录来部署服务。也可以通过管理工具(如...
8. **WS-Security(Web Services Security)**:Axis2 提供对WS-Security标准的支持,包括消息认证、加密和签名。研究源码有助于理解如何实现安全的Web服务。 9. **互操作性(Interoperability)**:Axis2 作为SOAP...
.NET Programming with Visual C++: Tutorial, Reference, and Immediate Solutions By 作者: Max Fomitchev ISBN-10 书号: 1138436399 ISBN-13 书号: 9781138436398 Edition 版本: 1 出版日期: 2017-07-27 Pages:...
- **WS-I(Web Services Interoperability Organization)**:制定了一系列规范,确保不同厂商的Web服务能相互通信。 - **WS-Security**:提供了Web服务的安全框架,涵盖认证、授权、加密和完整性保护。 - **WS-...