浏览 3090 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2012-10-31
请问一下,有没有人知道WSS4JInInterceptor为什么不验证HTTP GET的请求? 这种做法导致我直接访问: http://10.1.1.51:9090/ws/onlineuserservice/queryOnlineUsers时,跳过了安全认证。 我查了相关WS-Security的文档,没有说明使用HTTP-GET或者HTTP-POST方法来访问的内容呀。 WSS4JInInterceptor中代码是这么写的:
public final boolean isGET(SoapMessage message) { String method = (String)message.get(SoapMessage.HTTP_REQUEST_METHOD); return "GET".equals(method) && message.getContent(XMLStreamReader.class) == null; } public void handleMessage(SoapMessage msg) throws Fault { if (msg.containsKey(SECURITY_PROCESSED) || isGET(msg)) { return; } //...以下省略 } 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |
发表时间:2012-11-21
终于知道了,SOAP协议是基于HTTP POST做的。
|
|
返回顶楼 | |