Xfire在客户端验证WSS签名后的Web Service出错问题的解决

最新推荐文章于 2022-08-13 09:22:51 发布
最新推荐文章于 2022-08-13 09:22:51 发布
阅读量5.7k 收藏
点赞数
分类专栏: SECURE JAVA 文章标签: service web properties soap xml reference
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sfdev/article/details/2201004
版权
JAVA 同时被 2 个专栏收录
45 篇文章 0 订阅
订阅专栏
SECURE
12 篇文章 0 订阅
订阅专栏
在我们AEP开放API接口(Axis2+WSS4J)的时候,考虑了很多和其他平台的互通问题,比如和.Net、PHP的,结果后院差点起火,Java客户端用Xfire验证签名时居然出错,但只是一个提示出错信息,并不影响正常的签名验证和接口返回值,所以前面的工程师就没有当一回事;
客户端InHandler部分代码:
client.addInHandler( new  DOMInHandler());
Properties properties1  =   new  Properties();
properties1.setProperty(WSHandlerConstants.ACTION, WSHandlerConstants.SIGNATURE);
properties1.setProperty(WSHandlerConstants.SIG_PROP_FILE,  " client.properties " );
properties1.setProperty(WSHandlerConstants.USER,  " alisoft " );
    client.addInHandler(new WSS4JInHandler(properties1));


调用产生异常为:org.apache.ws.security.WSSecurityException: WSHandler: Check Signature confirmation: stored SV vector not empty
问题解决过程:
1、跟踪代码发现该异常的原因是:客户端默认开启了enableSignatureConfirmation标识,这样客户端就需要验证ws返回的xml里面的wsse:SignatureConfirmation信息,而服务端却在axis2.xml中设置了<parameter name="enableSignatureConfirmation">false</parameter>,服务端若设置为true,则要求请求的接收方确认响应中包括了来自请求的所有签名,否则验证不通过;所以不会在返回的xml中有wsse:SignatureConfirmation信息,故而出错!
2、添加设置properties1.setProperty(WSHandlerConstants.ENABLE_SIGNATURE_CONFIRMATION, "false");后再测,刚才的异常是没有了,但是却出现了新的异常,而且已经不能正常返回接口值了!
异常为:org.codehaus.xfire.XFireRuntimeException: Could not invoke service.. Nested exception is org.codehaus.xfire.fault.XFireFault: WSS4JInHandler: security processing failed (actions mismatch)
导致上面的原因是在WSS4J里面,客户端在验证服务端返回的xml有效性的时候要求:验证的顺序一定要和服务端设置一致;比如我们服务端对返回xml设置了Timestamp和Signature,那么客户端设置的InHandler中对应的action也必须是Timestamp和Signature,并且顺序要一致,否则就会验证不通过(这个在wss4j的mail list中有很多人认为这是一个bug,这个要求太强制了,wss4j也承诺后续将这个实现也改掉);
3、修改设置properties1.setProperty(WSHandlerConstants.ACTION, WSHandlerConstants.TIMESTAMP + " " + WSHandlerConstants.SIGNATURE);之后问题解决;

在查上面这个问题的时候,顺便还check了下关于signatureKeyIdentifier的问题,因为前面的工程师有段注释:

properties.setProperty(WSHandlerConstants.SIG_KEY_ID,  " IssuerSerial " ); // "DirectReference","IssuerSerial"绝对不可以使用"SKIKeyIdentifier"


总结起来,signatureKeyIdentifier的取值范围可以为:IssuerSerial, Thumbprint, SKIKeyIdentifier, X509KeyIdentifier, DirectReference;其中X509KeyIdentifier, DirectReference两者是将证书信息直接暴露在请求的soap xml中;而其他三者只保存对证书的标识性信息,接收端可以根据这些信息到证书库中取出具体的证书来进行相应的操作;各种情况在soap xml中的具体标识见备注,至于选择哪种参数这个要看自己的需求了,是否需要将证书暴露这是一个可参考原则;
经测试,各种signatureKeyIdentifier取值在java环境下基于wss的web service调用均不存在任何问题,只是对应soap请求xml有所区别而已;在对其他平台是否有影响我还不确认,可能会有问题,因为我的同事在调试WSE3.0时提到过这个问题,具体可以参见这篇文章《Web Service 、WS-Security、Java和.net的互通(在路上-基于SCA规范的应用服务框架成长记之四)》,后续我会再确认一把;
另外,该标识只需要请求发起方设置即可,接收方并不需要和发起方做相同配置(这点和验证action操作不同);

备注:
signatureKeyIdentifier = IssuerSerial时soap xml为:

< wsse:SecurityTokenReference  wsu:Id ="STRId-16359413"
                        xmlns:wsse ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
                        xmlns:wsu ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" >
                         < ds:X509Data
                             xmlns:ds ="http://www.w3.org/2000/09/xmldsig#" >
                             < ds:X509IssuerSerial
                                 xmlns:ds ="http://www.w3.org/2000/09/xmldsig#" >
                                 < ds:X509IssuerName
                                     xmlns:ds ="http://www.w3.org/2000/09/xmldsig#" >
                                    CN=91
                                 </ ds:X509IssuerName >

                                 < ds:X509SerialNumber
                                     xmlns:ds ="http://www.w3.org/2000/09/xmldsig#" >
                                    1204512340
                                 </ ds:X509SerialNumber >
                             </ ds:X509IssuerSerial >
                         </ ds:X509Data >
                     </ wsse:SecurityTokenReference >

signatureKeyIdentifier = Thumbprint时soap xml为:
< wsse:SecurityTokenReference  wsu:Id ="STRId-16359413"
                        xmlns:wsse ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
                        xmlns:wsu ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" >
                         < wsse:KeyIdentifier
                             EncodingType ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"
                            ValueType ="http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1" >
                            RsCeOP3DA3MfR51+G8+hpvkLrRU=
                         </ wsse:KeyIdentifier >
                     </ wsse:SecurityTokenReference >

signatureKeyIdentifier = SKIKeyIdentifier时soap xml为:
< wsse:SecurityTokenReference  wsu:Id ="STRId-16359413"
                        xmlns:wsse ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
                        xmlns:wsu ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" >
                         < wsse:KeyIdentifier
                             EncodingType ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"
                            ValueType ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509SubjectKeyIdentifier" >
                            7oaMmmGLcq4rfBmkp7Vq07KsT8g=
                         </ wsse:KeyIdentifier >
                     </ wsse:SecurityTokenReference >

signatureKeyIdentifier = X509KeyIdentifier时soap xml为:
< wsse:SecurityTokenReference  wsu:Id ="STRId-16359413"
                        xmlns:wsse ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
                        xmlns:wsu ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" >
                         < wsse:KeyIdentifier
                             EncodingType ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"
                            ValueType ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" >
                            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
                         </ wsse:KeyIdentifier >
                     </ wsse:SecurityTokenReference >

signatureKeyIdentifier = DirectReference时soap xml为:
<wsse:BinarySecurityToken
    EncodingType=" http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"
    ValueType=" http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"
    wsu:Id="CertId--138494"
    xmlns:wsse=" http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
    xmlns:wsu=" http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
    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
</wsse:BinarySecurityToken>
< wsse:SecurityTokenReference  wsu:Id ="STRId-16359413"
                        xmlns:wsse ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
                        xmlns:wsu ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" >
                         < wsse:Reference  URI ="#CertId--138494"
                            ValueType ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"
                            xmlns:wsse ="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" >
                         </ wsse:Reference >
                     </ wsse:SecurityTokenReference >
sfdev
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XFire构建web service客户端的五种方式
08-31
本篇文章主要介绍了XFire构建web service客户端的五种方式。具有很好的参考价值,下面跟着小编一起来看下吧
Webservice接口的生成及调用
热门推荐
杀神Jack的博客
02-27 1万+
最近项目上要对接一个Webservice形式的接口,因为以前一直没有对接过这种类型的,所以这次专门查了一些资料学习下
java webservice 安全_在安全标头中使用nonce从java调用soap webservice
weixin_30005929的博客
03-07 317
我试图从java调用web服务.这基本上并不困难,除了webservice期望以用户名和密码以及nonce形式的某些安全性.当我尝试从SoapUi调用web服务时,我看到原始消息如下所示:xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">xmlns:wsse="http://docs.oasis-open.org/wss/20...
cxf ws-security 加密和签名的实现
xiaofengtoo的专栏
07-22 861
以下文章为 cxf 官方 google 翻译,英文好的朋友可以直接看原文: http://cxf.apache.org/docs/ws-security.html   WS - Security提供了手段,以确保您的服务,如HTTPS传输级别的协议超出。 通过一些标准,如XML加密,并在WS - Security标准中定义的头,它可以让你: 在服务之间传递的身份验证令牌 ...
EOS CXF客户端动态调用webservice
qq_16660569的博客
05-16 290
CXF请求带安全验证webservice 在header头里面添加一个UsernameToken带用户密码的soap报文信息,如: <soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Header> <wsse:Securit...
xfire wss 异常 WSS4JInHandler: security processing failed
wmk123456789的博客
05-03 380
异常 Could not invoke service.. Nested exception is org.codehaus.xfire.fault.XFireFault: WSS4JInHandler: security processing failed     如果使用服务器端wss配置:     &lt;bean id="domInHandler" class="org.codehau...
XFire Java Web Service 客户端
01-07
XFire Java Web Service
xFire发布Web Service,并调用远程服务
02-16
xFire发布Web Service,并调用远程服务 ,里面包含xfire相关lib包及配置service.xml配置文件 ,需要先启动xfire 服务端 再启动客户端。main函数启动测试
使用 XFire 与 Spring 开发 Web Service.docx
08-13
实现功能与特点  基于 J2EE 平台的 Web Service 服务  开发方便,配置简单  设计接口  实现服务  配置暴露接口  XFire 将自动生成对应的wsdl  支持高级详细配置  与 Spring 无缝集成
java+xfire(web service) + php 客户端 并实现文件加密
05-26
NULL 博文链接:https://zhengdl126.iteye.com/blog/509487
XFireClient客户端
12-24
XFireClient客户端,自己写的小DEMO
可直接执行JAR的文件,qq客户端和服务器
12-14
可直接执行JAR的文件,qq客户端和服务器的界面
axis2 jax-ws_Axis2 WS-Security基础知识
cusi77914的博客
07-02 540
安全是许多类型的企业服务的主要要求。 尝试自己实施也是一个冒险的领域,因为即使是轻微而模糊的监督也可能导致严重的漏洞。 这些特性使安全处理的标准化具有吸引力,使许多专家可以为标准做出贡献,并避免任何个人的疏忽。 基于SOAPWeb服务可以将广泛支持的WS-Security和相关标准用于其安全需求,从而可以为每个服务配置适当的安全性。 Apache Axis2通过Rampart模块支持这些...
soap-ws获取ws中的所有的接口方法
weixin_30535565的博客
09-10 627
soap-ws获取wsdl中的所有的接口方法 示例wsdl文件如下,生成的过程可以参考https://www.cnblogs.com/chenyun-/p/11502446.html: 1 <definitions xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-u...
myeclipse搭建webservice实例讲解
BabyNiu411的专栏
08-29 869
本文主要讲解如何使用myeclipse集成的xfire构建web service,并构建一个客服端去访问!步骤如下: 1. 新建web Service Project工程,名为MyWebService【注意框架要选择XFire】 2. 点击next后选择默认 3. 点击Finish后,自动生成web.xml配置文件,这个是tomcat服务器的配置文件,这个自动生成的文件的作用就是服务
WebService如何绕过WSS:Security验证
weixin_43872819的博客
08-13 455
Springboot与Webservice Server交互绕过WSS:Security
webservice 教程学习系列(八)——wsdl文档深入分析
u012045045的博客
11-18 289
首先上一下 sayHello.wsdl的源码 &lt;?xml version="1.0" encoding="UTF-8"?&gt;&lt;!-- Published by JAX-WS RI (http://jax-ws.java.net). RI's version is JAX-WS RI 2.2.9-b130926.1035 svn-revision#5f6196f2b90e94...
CXF使用X509证书的WS-Security进行验证
Bruce-水桶妖
07-12 346
client端 [code="java"]package com.tongtech.ti.cxf.demo.security.X509.client; /** * Please modify this class to meet your needs * This class is not complete */ import java.net.URL; import ...
xfire+xxe+burp
最新发布
11-08
xfire是一个基于Java的...同时,由于xfire中存在STAXUtils类的重复定义问题,需要进行相应的解决。在使用Burp进行Web应用程序渗透测试时,可以利用其对HTTP请求和响应的拦截和修改功能,来检测和利用xxe注入漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值