我正在尝试向一个现有的 Web 服务发送请求。这个 Web 服务不受我控制。该 Web 服务的安全策略要求我在我的 SOAP 请求中发送完整的证书链。我的证书链包含3个证书。由于我能够测试其有效性(并已经这样做),因此证书链的设置没有问题。
此设置的安全配置是:(在请求中发送完整的证书链)。
<xwss:Sign id="signature">
<xwss:X509Token
certificateAlias="alias"
keyReferenceType="Direct"
valueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1" />
</xwss:Sign>
我正试图通过 Spring-WS 实现这个功能。 Spring-WS 使用 spring-ws-security 进行安全验证。 Spring-ws-security 相应地委托给 xws-security。
<dependency>
<groupId>org.springframework.ws</groupId>
<artifactId>spring-ws-security</artifactId>
<version>2.1.0.RELEASE</version>
<exclusions>
<exclusion>
<groupId>org.apache.ws.security</groupId>
<artifactId>wss4j</artifactId>
</exclusion>
<exclusion>
<groupId>com.sun.xml.wsit</groupId>
<artifactId>xws-security</artifactId>
</exclusion>
</exclusions>
</dependency>
Xws-security有两种不同的使用方式:
<dependency>
<groupId>com.sun.xml.wsit</groupId>
<artifactId>xws-security</artifactId>
<version>1.3.1</version>
</dependency>
并且
<dependency>
<groupId>com.sun.xml.wss</groupId>
<artifactId>xws-security</artifactId>
<version>3.0</version>
</dependency>
第一个被Spring WS Security使用,第二个是遗留的。
将我的XWSS配置应用于xws-security是在一个叫做BinarySecurityToken的类中完成的。BinarySecurityToken有一个叫做的字段
valueType
valueType的JavaDoc表示它支持X509PKIPathv1(以及其他类型)。但是,正如这个setter所述,它实际上并没有支持:
protected void setValueType(String valueType) {
if (!(MessageConstants.X509v3_NS.equals(valueType)||MessageConstants.X509v1_NS.equals(valueType))) {
log.log(Level.SEVERE,"WSS0342.valtype.invalid");
throw new RuntimeException("Unsupported value type: " + valueType);
}
this.valueType = valueType;
}
类MessageConstants甚至没有一个静态的X509PKIPathv1。当我运行我的代码时,我得到了预期的结果:
Unsupported value type: http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1
我能够查看传统的com.sun.xml.wss.xws-security:3.0
源代码。尽管我努力了,但我没有找到com.sun.xml.wsit.xws-security-1.3.1
的源代码。但我认为代码是相同的。我尝试了两个库,两个库都给了我相同的异常。我尝试了使用默认的spring-ws-security和明确声明依赖于这两个库之一的方法。
我的问题:
- 有人能够使用xws-security生成valueType为X509PKIPathv1且keyReferenceType为Direct的X509签名吗?
- 是否存在其他提供此功能的xws-security实现?或者我应该考虑完全不同的方法,比如Wss4j?
我考虑过重写BinarySecurityToken,但这可能也意味着重写DSIG中SignatureProcessor的X509签名。