AI 助理
备案控制台
开发者社区> 问答> 正文

springboot webService----wss4j+cxf实现WS-?400报错

最近在搞webservice+cxf 安全问题

遇到了这样的问题,就是服务端和客户端使用WSHandlerConstants.USERNAME_TOKEN和WSConstants.PW_TEXT 明文校验安全认证,客户端调服务端是没有问题,正常调用能返回值。

但是,如果客户端和服务端采用WSConstants.PW_DIGEST密码类型为加密时就会报错。

求解!!!!!!!!!!!!!!!!

 

springboot 服务端配置类

@Configuration
public class WebServiceConfig {
    @Autowired
    private Bus bus;
 
    @Autowired
    CommonService service;
    
    @Autowired
    AuthInterceptor authinterceptor;
    
    
    /*jax-ws*/
    @Bean
    public Endpoint endpoint() {
    	
    	
        EndpointImpl endpoint = new EndpointImpl(bus, service);
       // endpoint.getInInterceptors().add(authinterceptor);//添加校验拦截器
        endpoint.getInInterceptors().add(new LoggingInInterceptor());
       endpoint.getInInterceptors().add(new LoggingOutInterceptor());
        Map<String, Object> inProps = new HashMap<String, Object>();
        inProps.put(WSHandlerConstants.USER, "admin");
        inProps.put(WSHandlerConstants.ACTION,WSHandlerConstants.USERNAME_TOKEN);//设置加密类型
        inProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST); //设置密码类型为加密 
        inProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,  
        		ExampleServiceInterceptor.class.getName());  //密码回调函数
        endpoint.getInInterceptors().add( new SAAJInInterceptor());
        endpoint.getInInterceptors().add(new WSS4JInInterceptor(inProps));
        endpoint.publish("/CommonService");
        return endpoint;
    }
}

服务端密码回调函数

public class ExampleServiceInterceptor implements CallbackHandler{
 
	private Map<String, String> passwords = new HashMap<String, String>();
	
	public ExampleServiceInterceptor() {
		passwords.put("admin", "password");//此处的对应的是验证信息-用户名+密码,必须与客户端一致才可验证通过
	}
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		
		for (int i = 0; i < callbacks.length; i++) {
			WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
			String identifier = pc.getIdentifier();//用户名
			int usage = pc.getUsage();//验证方式
			if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
				// username token pwd...
				// ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同
				// 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
				// Changes片段
				pc.setPassword(passwords.get(identifier));// ▲【这里非常重要】▲
				// ▲PS 如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:
				// The
				// security token could not be authenticated or
				// authorized异常,服务端会认为客户端为非法调用
			}else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
				// set the password for client's keystore.keyPassword
				// ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同;
				// 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
				// Changes片段
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
				// ▲PS:如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:The
				// security token could not be authenticated or
				// authorized异常,服务端会认为客户端为非法调用
			}
		}
	}
 
}

客户端调用类

import java.util.ArrayList;
import java.util.HashMap;
import java.util.Map;

import javax.xml.namespace.QName;

import org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor;
import org.apache.cxf.endpoint.Client;
import org.apache.cxf.jaxws.endpoint.dynamic.JaxWsDynamicClientFactory;
import org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor;
import org.apache.wss4j.dom.WSConstants;
import org.apache.wss4j.dom.handler.WSHandlerConstants;

public class webserviceclient {

    //动态调用
    public static void main(String[] args) throws Exception {
        JaxWsDynamicClientFactory dcflient=JaxWsDynamicClientFactory.newInstance();

        Client client=dcflient.createClient("http://localhost:8080/services/CommonService?wsdl");
        //client.getOutInterceptors().add(new LoginInterceptor("root","admin"));
        
        Map<String, Object> outProps = new HashMap<String, Object>();
		outProps.put(WSHandlerConstants.ACTION,
				WSHandlerConstants.USERNAME_TOKEN);
		outProps.put(WSHandlerConstants.USER, "admin");
		outProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST);
		// 指定在调用远程ws之前触发的回调函数WsClinetAuthHandler,其实类似于一个拦截器
		outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,
				ExampleServiceClientInterceptor.class.getName());
		ArrayList list = new ArrayList();
		// 添加cxf安全验证拦截器,必须
		list.add(new SAAJOutInterceptor());
		list.add(new WSS4JOutInterceptor(outProps));
		client.getOutInterceptors().addAll(list);
		 QName name=new QName("http://www.webservice.xxx.com","HelloWorld");  
         Object[] objects=client.invoke(name,"88888");
        System.out.println("*******"+objects[0].toString());

    }

客户端回调函数


 
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.wss4j.common.ext.WSPasswordCallback;
 
/** 
 * @author 
 * 类说明 
 */
public class ExampleServiceClientInterceptor implements CallbackHandler{
 
	private Map<String, String> passwords = new HashMap<String, String>();
	
	public ExampleServiceClientInterceptor() {
		passwords.put("admin", "password");
	}
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		
		for (int i = 0; i < callbacks.length; i++) {
			WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
			String identifier = pc.getIdentifier();
			int usage = pc.getUsage();
			
			if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
				System.out.println(passwords.containsKey(identifier)+"="+passwords.get(identifier)+"-"+identifier);
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
			}else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
			}
		}
	}
 
}

报错信息:

16:22:32.774 [main] WARN  o.a.c.p.PhaseInterceptorChain - [doLog,475] - Interceptor for {http://www.webservice.xxx.com}CommonService#{http://www.webservice.xxx.com}HelloWorld has thrown exception, unwinding now
org.apache.cxf.binding.soap.SoapFault: Error reading XMLStreamReader: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:292)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:70)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.onMessage(ClientImpl.java:833)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponseInternal(HTTPConduit.java:1695)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponse(HTTPConduit.java:1572)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1373)
	at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
	at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:673)
	at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:63)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:537)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:446)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:361)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:319)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:339)
	at webserviceclient.main(webserviceclient.java:37)
Caused by: com.ctc.wstx.exc.WstxUnexpectedCharException: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at com.ctc.wstx.sr.StreamScanner.throwUnexpectedChar(StreamScanner.java:653)
	at com.ctc.wstx.sr.BasicStreamReader.nextFromProlog(BasicStreamReader.java:2133)
	at com.ctc.wstx.sr.BasicStreamReader.next(BasicStreamReader.java:1181)
	at com.ctc.wstx.sr.BasicStreamReader.nextTag(BasicStreamReader.java:1204)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:173)
	... 16 common frames omitted
Exception in thread "main" org.apache.cxf.binding.soap.SoapFault: Error reading XMLStreamReader: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:292)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:70)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.onMessage(ClientImpl.java:833)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponseInternal(HTTPConduit.java:1695)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponse(HTTPConduit.java:1572)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1373)
	at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
	at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:673)
	at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:63)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:537)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:446)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:361)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:319)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:339)
	at webserviceclient.main(webserviceclient.java:37)
Caused by: com.ctc.wstx.exc.WstxUnexpectedCharException: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at com.ctc.wstx.sr.StreamScanner.throwUnexpectedChar(StreamScanner.java:653)
	at com.ctc.wstx.sr.BasicStreamReader.nextFromProlog(BasicStreamReader.java:2133)
	at com.ctc.wstx.sr.BasicStreamReader.next(BasicStreamReader.java:1181)
	at com.ctc.wstx.sr.BasicStreamReader.nextTag(BasicStreamReader.java:1204)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:173)
	... 16 more

 

展开
收起
爱吃鱼的程序员 2020-06-06 09:52:55 1036 0
1 条回答
写回答
取消 提交回答
  • 爱吃鱼的程序员
    https://developer.aliyun.com/profile/5yerqm5bn5yqg?spm=a2c6h.12873639.0.0.6eae304abcjaIB
                        <p>好几天了,自己终于找到问题了,是ehcache-xxx.jar 和ehcache-core-xxx.jar冲突, </p>

    解决方法:

        <!-- Shiro使用EhCache-core缓存框架 -->
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-ehcache</artifactId>
                <version>${shiro.version}</version>
                
                <exclusions>
                    <exclusion>
                          <groupId>net.sf.ehcache</groupId>
                        <artifactId>ehcache-core</artifactId>
                    </exclusion>
                </exclusions>
            </dependency>

     <!-- 使用EhCache缓存框架 -->

             <dependency>
                 <groupId>org.apache.cxf</groupId>
                  <artifactId>cxf-rt-ws-security</artifactId>
                 <version>3.2.5</version>
             </dependency>

     

    2020-06-06 09:53:11
    赞同 展开评论 打赏
问答分类:
安全 Java 数据安全/隐私保护 密钥管理服务
问答标签:
Spring Boot web service Spring Boot cxf Spring Boot cxf报错 Spring Boot web service cxf
问答地址:
开发者社区 > 安全 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
我这边springboot配置了schedulerx2的信息,启动服务初始化报错这是为什么
2506
1
0
springboot dubbo使用的是2.6.2,结合seata1.5.1,报错要怎么解决啊?
1047
1
0
springboot 使用mybites作为持久层编写webservice问题?
535
1
0
springboot+mybatis+thymeleaf 前台传值为什么报错
771
1
0
springboot mybatis 项目,发布后可以正常访问,几分钟后接口报错为什么
865
1
0
前端请求SpringBoot后台的put方法接口时,后台报错:不支持HTTP请求方法异常,该如何解决
1797
1
0
SpringBoot 报错 Inferred type ‘S’ for type parameter
619
0
0
SpringBoot项目集成POI解析处理excel文件时异常报错:无法找POI包下的类,该如何解决
789
1
0
Spring Boot 报错:not found in classpath
642
0
0
eclipse运行springboot项目报错‘找不到或无法加载主类’
798
0
0
问答排行榜
最热
最新
1 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1819013
2 据说在家办公的程序员是这样写代码的? 1793136
3 阿里云开放端口权限 690270
4 如何升级配置 536292
5 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522847
6 【精品问答】python技术1000问(1) 514126
7 Flink Forward Asia 2021 有奖问答 512907
8 OceanBase 使用动画(持续更新) 359373
9 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329801
10 OSS存储服务-客户端工具 321581
11 为体验实验室取一个新名字。 307477
12 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 304089
13 Win Server 2003-2016 加密勒索事件必打补丁合集 295329
14 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 284203
15 安全组详解,新手必看教程 277341
16 写code还是做管理,开发者如何进行职业规划? 269138
17 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255880
18 阿里云手机和阿云浏览器连接问题专帖 235687
19 支付宝H5 下载的时候,提示 【请确保该下载文件来源安全,如需浏览,请长按网址复制后使用浏览器访问】 227733
20 请问阿里云邮箱如何开启SMTP服务啊! 225866
1 “AI +脱口秀”,笑点能靠算法去创造吗? 210
2 请教:通过按钮打开另外一个表单,并把其中一个值传递给另一个表单的其中一个字段。 156
3 AI宠物更适合当代年轻人的陪伴需求吗? 734
4 AI客服未来会完全代替人工吗? 906
5 “云+AI”能够孵化出多少可能? 831
6 当AI频繁生成虚假信息,我们还能轻信大模型吗? 630
7 使用免费证书后 服务器浏览器访问没有问题,外网访问 显示证书不可信,使用同一种浏览器哦 183
8 FFA 2024 大会门票免费送!AI时代下大数据技术未来路在何方? 1518
9 为什么宜搭的流程流入到钉钉OA审批,钉钉OA审批要收钱啊。。。。 213
10 宜搭UPDATE或UPSERT一次更新数据超过100条怎么办? 谢谢各位大大帮帮忙!!! 181
11 通义千问2.5-7B-Instruct已经下载到本地为什么使还需要联网?而且最近下载模型也提示400 107
12 CUDA error: CUDA-capable device(s) is busy 163
13 AI时代,存力or算力哪一个更关键? 1226
14 求宜搭关联表单的更新方法!!! 341
15 全网寻找 #六边形战士# 程序员,你的 AI 编码助手身份标签是什么? 1294
16 老哥们有个需求想请教一下,十分感谢 332
17 关于“通义灵码”而言,这次更新后,他更加人性化,然而我更喜欢fittencode,理由如下 417
18 关于宜搭自定义页面的文本组件循环获取其它表单的子表单数据。 173
19 flink1.20.0 部署后发布报错,是怎么回事,各种配置都配置了 213
20 关于开发者的100件小事,你知道哪些? 1316

相关课程

更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
    1853
    307
    去学习
  • SpringBoot实战教程
    1154
    59
    去学习
  • SpringBoot快速掌握 - 核心技术
    10094
    73
    去学习
  • SpringBoot快速掌握 - 高级应用
    3430
    41
    去学习
  • Springboot项目云开发快速迁移
    667
    1
    去学习
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
    1532
    17
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关文章

  • CISO应对混合云和多云安全挑战的策略与实践
  • 使用GenAI反增工作量的七大途径
  • AI助力电子邮件安全防护,CISO解析新策略
  • 数字孪生:解锁端到端供应链增长的关键
  • 远离生成式AI大乱斗,SAS公司揭示亚太区千亿AI市场蓝图

    • 相关电子书

    更多
    • WEB SERVICE EFFICENCY 立即下载
    Apache Dubbo3 源码深入解读 立即下载
    低代码开发师(初级)实战教程 立即下载

    相关实验场景

    更多
  • 从零搭建Spring Boot的Hello World
    14235
    1.0小时
    去实验