论坛首页 Java企业应用论坛

WSS4JInInterceptor为什么不验证HTTP GET的请求

浏览 3085 次
锁定老帖子 主题:WSS4JInInterceptor为什么不验证HTTP GET的请求
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
  • wurenhai
  • 等级: 初级会员
  • 性别:
  • 文章: 11
  • 积分: 50
  • 来自: 福州
   发表时间:2012-10-31  

请问一下,有没有人知道WSS4JInInterceptor为什么不验证HTTP GET的请求? 这种做法导致我直接访问: http://10.1.1.51:9090/ws/onlineuserservice/queryOnlineUsers时,跳过了安全认证。

我查了相关WS-Security的文档,没有说明使用HTTP-GET或者HTTP-POST方法来访问的内容呀。 WSS4JInInterceptor中代码是这么写的:

 

    public final boolean isGET(SoapMessage message) {
        String method = (String)message.get(SoapMessage.HTTP_REQUEST_METHOD);
        return "GET".equals(method) && message.getContent(XMLStreamReader.class) == null;
    }
    
    public void handleMessage(SoapMessage msg) throws Fault {
        if (msg.containsKey(SECURITY_PROCESSED) || isGET(msg)) {
            return;
        }
        //...以下省略
    }
 
返回顶楼
         
  • wurenhai
  • 等级: 初级会员
  • 性别:
  • 文章: 11
  • 积分: 50
  • 来自: 福州
   发表时间:2012-11-21  
终于知道了,SOAP协议是基于HTTP POST做的。
返回顶楼
          回帖地址
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics