AI 助理
备案控制台
开发者社区> 问答> 正文

springboot webService----wss4j+cxf实现WS-?400报错

最近在搞webservice+cxf 安全问题

遇到了这样的问题,就是服务端和客户端使用WSHandlerConstants.USERNAME_TOKEN和WSConstants.PW_TEXT 明文校验安全认证,客户端调服务端是没有问题,正常调用能返回值。

但是,如果客户端和服务端采用WSConstants.PW_DIGEST密码类型为加密时就会报错。

求解!!!!!!!!!!!!!!!!

 

springboot 服务端配置类

@Configuration
public class WebServiceConfig {
    @Autowired
    private Bus bus;
 
    @Autowired
    CommonService service;
    
    @Autowired
    AuthInterceptor authinterceptor;
    
    
    /*jax-ws*/
    @Bean
    public Endpoint endpoint() {
    	
    	
        EndpointImpl endpoint = new EndpointImpl(bus, service);
       // endpoint.getInInterceptors().add(authinterceptor);//添加校验拦截器
        endpoint.getInInterceptors().add(new LoggingInInterceptor());
       endpoint.getInInterceptors().add(new LoggingOutInterceptor());
        Map<String, Object> inProps = new HashMap<String, Object>();
        inProps.put(WSHandlerConstants.USER, "admin");
        inProps.put(WSHandlerConstants.ACTION,WSHandlerConstants.USERNAME_TOKEN);//设置加密类型
        inProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST); //设置密码类型为加密 
        inProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,  
        		ExampleServiceInterceptor.class.getName());  //密码回调函数
        endpoint.getInInterceptors().add( new SAAJInInterceptor());
        endpoint.getInInterceptors().add(new WSS4JInInterceptor(inProps));
        endpoint.publish("/CommonService");
        return endpoint;
    }
}

服务端密码回调函数

public class ExampleServiceInterceptor implements CallbackHandler{
 
	private Map<String, String> passwords = new HashMap<String, String>();
	
	public ExampleServiceInterceptor() {
		passwords.put("admin", "password");//此处的对应的是验证信息-用户名+密码,必须与客户端一致才可验证通过
	}
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		
		for (int i = 0; i < callbacks.length; i++) {
			WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
			String identifier = pc.getIdentifier();//用户名
			int usage = pc.getUsage();//验证方式
			if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
				// username token pwd...
				// ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同
				// 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
				// Changes片段
				pc.setPassword(passwords.get(identifier));// ▲【这里非常重要】▲
				// ▲PS 如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:
				// The
				// security token could not be authenticated or
				// authorized异常,服务端会认为客户端为非法调用
			}else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
				// set the password for client's keystore.keyPassword
				// ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同;
				// 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
				// Changes片段
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
				// ▲PS:如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:The
				// security token could not be authenticated or
				// authorized异常,服务端会认为客户端为非法调用
			}
		}
	}
 
}

客户端调用类

import java.util.ArrayList;
import java.util.HashMap;
import java.util.Map;

import javax.xml.namespace.QName;

import org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor;
import org.apache.cxf.endpoint.Client;
import org.apache.cxf.jaxws.endpoint.dynamic.JaxWsDynamicClientFactory;
import org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor;
import org.apache.wss4j.dom.WSConstants;
import org.apache.wss4j.dom.handler.WSHandlerConstants;

public class webserviceclient {

    //动态调用
    public static void main(String[] args) throws Exception {
        JaxWsDynamicClientFactory dcflient=JaxWsDynamicClientFactory.newInstance();

        Client client=dcflient.createClient("http://localhost:8080/services/CommonService?wsdl");
        //client.getOutInterceptors().add(new LoginInterceptor("root","admin"));
        
        Map<String, Object> outProps = new HashMap<String, Object>();
		outProps.put(WSHandlerConstants.ACTION,
				WSHandlerConstants.USERNAME_TOKEN);
		outProps.put(WSHandlerConstants.USER, "admin");
		outProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST);
		// 指定在调用远程ws之前触发的回调函数WsClinetAuthHandler,其实类似于一个拦截器
		outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,
				ExampleServiceClientInterceptor.class.getName());
		ArrayList list = new ArrayList();
		// 添加cxf安全验证拦截器,必须
		list.add(new SAAJOutInterceptor());
		list.add(new WSS4JOutInterceptor(outProps));
		client.getOutInterceptors().addAll(list);
		 QName name=new QName("http://www.webservice.xxx.com","HelloWorld");  
         Object[] objects=client.invoke(name,"88888");
        System.out.println("*******"+objects[0].toString());

    }

客户端回调函数


 
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.wss4j.common.ext.WSPasswordCallback;
 
/** 
 * @author 
 * 类说明 
 */
public class ExampleServiceClientInterceptor implements CallbackHandler{
 
	private Map<String, String> passwords = new HashMap<String, String>();
	
	public ExampleServiceClientInterceptor() {
		passwords.put("admin", "password");
	}
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		
		for (int i = 0; i < callbacks.length; i++) {
			WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
			String identifier = pc.getIdentifier();
			int usage = pc.getUsage();
			
			if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
				System.out.println(passwords.containsKey(identifier)+"="+passwords.get(identifier)+"-"+identifier);
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
			}else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
			}
		}
	}
 
}

报错信息:

16:22:32.774 [main] WARN  o.a.c.p.PhaseInterceptorChain - [doLog,475] - Interceptor for {http://www.webservice.xxx.com}CommonService#{http://www.webservice.xxx.com}HelloWorld has thrown exception, unwinding now
org.apache.cxf.binding.soap.SoapFault: Error reading XMLStreamReader: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:292)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:70)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.onMessage(ClientImpl.java:833)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponseInternal(HTTPConduit.java:1695)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponse(HTTPConduit.java:1572)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1373)
	at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
	at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:673)
	at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:63)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:537)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:446)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:361)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:319)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:339)
	at webserviceclient.main(webserviceclient.java:37)
Caused by: com.ctc.wstx.exc.WstxUnexpectedCharException: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at com.ctc.wstx.sr.StreamScanner.throwUnexpectedChar(StreamScanner.java:653)
	at com.ctc.wstx.sr.BasicStreamReader.nextFromProlog(BasicStreamReader.java:2133)
	at com.ctc.wstx.sr.BasicStreamReader.next(BasicStreamReader.java:1181)
	at com.ctc.wstx.sr.BasicStreamReader.nextTag(BasicStreamReader.java:1204)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:173)
	... 16 common frames omitted
Exception in thread "main" org.apache.cxf.binding.soap.SoapFault: Error reading XMLStreamReader: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:292)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:70)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.onMessage(ClientImpl.java:833)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponseInternal(HTTPConduit.java:1695)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponse(HTTPConduit.java:1572)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1373)
	at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
	at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:673)
	at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:63)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:537)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:446)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:361)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:319)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:339)
	at webserviceclient.main(webserviceclient.java:37)
Caused by: com.ctc.wstx.exc.WstxUnexpectedCharException: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at com.ctc.wstx.sr.StreamScanner.throwUnexpectedChar(StreamScanner.java:653)
	at com.ctc.wstx.sr.BasicStreamReader.nextFromProlog(BasicStreamReader.java:2133)
	at com.ctc.wstx.sr.BasicStreamReader.next(BasicStreamReader.java:1181)
	at com.ctc.wstx.sr.BasicStreamReader.nextTag(BasicStreamReader.java:1204)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:173)
	... 16 more

 

展开
收起
爱吃鱼的程序员 2020-06-06 09:52:55 1034 0
1 条回答
写回答
取消 提交回答
  • 爱吃鱼的程序员
    https://developer.aliyun.com/profile/5yerqm5bn5yqg?spm=a2c6h.12873639.0.0.6eae304abcjaIB
                        <p>好几天了,自己终于找到问题了,是ehcache-xxx.jar 和ehcache-core-xxx.jar冲突, </p>

    解决方法:

        <!-- Shiro使用EhCache-core缓存框架 -->
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-ehcache</artifactId>
                <version>${shiro.version}</version>
                
                <exclusions>
                    <exclusion>
                          <groupId>net.sf.ehcache</groupId>
                        <artifactId>ehcache-core</artifactId>
                    </exclusion>
                </exclusions>
            </dependency>

     <!-- 使用EhCache缓存框架 -->

             <dependency>
                 <groupId>org.apache.cxf</groupId>
                  <artifactId>cxf-rt-ws-security</artifactId>
                 <version>3.2.5</version>
             </dependency>

     

    2020-06-06 09:53:11
    赞同 展开评论 打赏
问答分类:
安全 Java 数据安全/隐私保护 密钥管理服务
问答标签:
Spring Boot web service Spring Boot cxf Spring Boot cxf报错 Spring Boot web service cxf
问答地址:
开发者社区 > 安全 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
我这边springboot配置了schedulerx2的信息,启动服务初始化报错这是为什么
2501
1
0
springboot dubbo使用的是2.6.2,结合seata1.5.1,报错要怎么解决啊?
1043
1
0
springboot 使用mybites作为持久层编写webservice问题?
532
1
0
springboot+mybatis+thymeleaf 前台传值为什么报错
769
1
0
springboot mybatis 项目,发布后可以正常访问,几分钟后接口报错为什么
864
1
0
前端请求SpringBoot后台的put方法接口时,后台报错:不支持HTTP请求方法异常,该如何解决
1790
1
0
SpringBoot 报错 Inferred type ‘S’ for type parameter
618
0
0
SpringBoot项目集成POI解析处理excel文件时异常报错:无法找POI包下的类,该如何解决
784
1
0
Spring Boot 报错:not found in classpath
638
0
0
eclipse运行springboot项目报错‘找不到或无法加载主类’
794
0
0
问答排行榜
最热
最新
1 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1818923
2 据说在家办公的程序员是这样写代码的? 1793033
3 阿里云开放端口权限 690220
4 如何升级配置 536264
5 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522799
6 【精品问答】python技术1000问(1) 514114
7 Flink Forward Asia 2021 有奖问答 512893
8 OceanBase 使用动画(持续更新) 359365
9 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329791
10 OSS存储服务-客户端工具 321534
11 为体验实验室取一个新名字。 307460
12 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 304063
13 Win Server 2003-2016 加密勒索事件必打补丁合集 295316
14 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 284149
15 安全组详解,新手必看教程 277334
16 写code还是做管理,开发者如何进行职业规划? 269088
17 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255873
18 阿里云手机和阿云浏览器连接问题专帖 235685
19 请问阿里云邮箱如何开启SMTP服务啊! 225830
20 支付宝H5 下载的时候,提示 【请确保该下载文件来源安全,如需浏览,请长按网址复制后使用浏览器访问】 224538
1 AI时代,存力or算力哪一个更关键? 109
2 全网寻找 #六边形战士# 程序员,你的 AI 编码助手身份标签是什么? 631
3 关于开发者的100件小事,你知道哪些? 857
4 AI助力,短剧迎来创新热潮? 439
5 1024程序员节,开发者们都在参与社区的哪些活动? 1930
6 关于文本框校验自定义函数的问题 219
7 百问求答第四期-回答问题即有机会拿冬季取暖器 790
8 宜搭-集成&amp;自动化,怎么实现定时自动获取普通表单里的所有数据,并更新该表单里的某列数据? 107
9 有没有大佬知道:宜搭的流程表单里如何通过js面板给成员组件赋值? 150
10 百问求答第四期-回答问题即有机会拿冬季取暖器 612
11 域名内网可以正常访问,外网访问不了 148
12 宜搭表单 数据管理 增加 全部删除功能 126
13 获取Access Token报code: 400, body is mandatory 258
14 运动旅游开启新潮流,哪些科技手段能助力你的行程呢? 839
15 “AI+儿童陪伴”,是噱头还是趋势? 896
16 小白求助,跟着大模型微调教程做不太明白 489
17 2024年阿里云双十一有活动吗?买服务器价格能优惠吗? 256
18 P人出游,你是否需要一个懂你更懂规划的AI导游呢?来搭建专属文旅问答机器人吧 1439
19 【云端读书会 第1期】读《10分钟打造专属AI助手》,你有哪些心得? 2453
20 宜搭上有很多表单有附件,想把附件根据项目名称统一存储到钉盘里面 152

相关课程

更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
    1841
    307
    去学习
  • SpringBoot实战教程
    1139
    59
    去学习
  • SpringBoot快速掌握 - 核心技术
    10082
    73
    去学习
  • SpringBoot快速掌握 - 高级应用
    3423
    41
    去学习
  • Springboot项目云开发快速迁移
    667
    1
    去学习
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
    1517
    17
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关文章

  • 猫头虎分享:鸿蒙生态带给开发者的全新机遇!轻松实现按需加载与多端适配,开发效率翻倍
  • Flutter&鸿蒙next 封装 Dio 网络请求详解:登录身份验证与免登录缓存
  • 2024Mysql And Redis基础与进阶操作系列(3-1)作者——LJS[含MySQL用户,权限,角色管理;举例说明详解步骤及常见报错问题对应的解决方法]
  • Java实现导出多个excel表打包到zip文件中,供客户端另存为窗口下载
  • 2024Mysql And Redis基础与进阶操作系列(6)作者——LJS[含MySQL 多表之一对一/多;多对多;多表联合查询等详解步骤及常见报错问题所对应的解决方法]

    • 相关电子书

    更多
    • WEB SERVICE EFFICENCY 立即下载
    Apache Dubbo3 源码深入解读 立即下载
    低代码开发师(初级)实战教程 立即下载

    相关实验场景

    更多
  • 从零搭建Spring Boot的Hello World
    14235
    1.0小时
    去实验