备案控制台
开发者社区> 问答> 正文

springboot webService----wss4j+cxf实现WS-?400报错

最近在搞webservice+cxf 安全问题

遇到了这样的问题,就是服务端和客户端使用WSHandlerConstants.USERNAME_TOKEN和WSConstants.PW_TEXT 明文校验安全认证,客户端调服务端是没有问题,正常调用能返回值。

但是,如果客户端和服务端采用WSConstants.PW_DIGEST密码类型为加密时就会报错。

求解!!!!!!!!!!!!!!!!

 

springboot 服务端配置类

@Configuration
public class WebServiceConfig {
    @Autowired
    private Bus bus;
 
    @Autowired
    CommonService service;
    
    @Autowired
    AuthInterceptor authinterceptor;
    
    
    /*jax-ws*/
    @Bean
    public Endpoint endpoint() {
    	
    	
        EndpointImpl endpoint = new EndpointImpl(bus, service);
       // endpoint.getInInterceptors().add(authinterceptor);//添加校验拦截器
        endpoint.getInInterceptors().add(new LoggingInInterceptor());
       endpoint.getInInterceptors().add(new LoggingOutInterceptor());
        Map<String, Object> inProps = new HashMap<String, Object>();
        inProps.put(WSHandlerConstants.USER, "admin");
        inProps.put(WSHandlerConstants.ACTION,WSHandlerConstants.USERNAME_TOKEN);//设置加密类型
        inProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST); //设置密码类型为加密 
        inProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,  
        		ExampleServiceInterceptor.class.getName());  //密码回调函数
        endpoint.getInInterceptors().add( new SAAJInInterceptor());
        endpoint.getInInterceptors().add(new WSS4JInInterceptor(inProps));
        endpoint.publish("/CommonService");
        return endpoint;
    }
}

服务端密码回调函数

public class ExampleServiceInterceptor implements CallbackHandler{
 
	private Map<String, String> passwords = new HashMap<String, String>();
	
	public ExampleServiceInterceptor() {
		passwords.put("admin", "password");//此处的对应的是验证信息-用户名+密码,必须与客户端一致才可验证通过
	}
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		
		for (int i = 0; i < callbacks.length; i++) {
			WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
			String identifier = pc.getIdentifier();//用户名
			int usage = pc.getUsage();//验证方式
			if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
				// username token pwd...
				// ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同
				// 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
				// Changes片段
				pc.setPassword(passwords.get(identifier));// ▲【这里非常重要】▲
				// ▲PS 如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:
				// The
				// security token could not be authenticated or
				// authorized异常,服务端会认为客户端为非法调用
			}else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
				// set the password for client's keystore.keyPassword
				// ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同;
				// 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
				// Changes片段
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
				// ▲PS:如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:The
				// security token could not be authenticated or
				// authorized异常,服务端会认为客户端为非法调用
			}
		}
	}
 
}

客户端调用类

import java.util.ArrayList;
import java.util.HashMap;
import java.util.Map;

import javax.xml.namespace.QName;

import org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor;
import org.apache.cxf.endpoint.Client;
import org.apache.cxf.jaxws.endpoint.dynamic.JaxWsDynamicClientFactory;
import org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor;
import org.apache.wss4j.dom.WSConstants;
import org.apache.wss4j.dom.handler.WSHandlerConstants;

public class webserviceclient {

    //动态调用
    public static void main(String[] args) throws Exception {
        JaxWsDynamicClientFactory dcflient=JaxWsDynamicClientFactory.newInstance();

        Client client=dcflient.createClient("http://localhost:8080/services/CommonService?wsdl");
        //client.getOutInterceptors().add(new LoginInterceptor("root","admin"));
        
        Map<String, Object> outProps = new HashMap<String, Object>();
		outProps.put(WSHandlerConstants.ACTION,
				WSHandlerConstants.USERNAME_TOKEN);
		outProps.put(WSHandlerConstants.USER, "admin");
		outProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST);
		// 指定在调用远程ws之前触发的回调函数WsClinetAuthHandler,其实类似于一个拦截器
		outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,
				ExampleServiceClientInterceptor.class.getName());
		ArrayList list = new ArrayList();
		// 添加cxf安全验证拦截器,必须
		list.add(new SAAJOutInterceptor());
		list.add(new WSS4JOutInterceptor(outProps));
		client.getOutInterceptors().addAll(list);
		 QName name=new QName("http://www.webservice.xxx.com","HelloWorld");  
         Object[] objects=client.invoke(name,"88888");
        System.out.println("*******"+objects[0].toString());

    }

客户端回调函数


 
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.wss4j.common.ext.WSPasswordCallback;
 
/** 
 * @author 
 * 类说明 
 */
public class ExampleServiceClientInterceptor implements CallbackHandler{
 
	private Map<String, String> passwords = new HashMap<String, String>();
	
	public ExampleServiceClientInterceptor() {
		passwords.put("admin", "password");
	}
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		
		for (int i = 0; i < callbacks.length; i++) {
			WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
			String identifier = pc.getIdentifier();
			int usage = pc.getUsage();
			
			if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
				System.out.println(passwords.containsKey(identifier)+"="+passwords.get(identifier)+"-"+identifier);
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
			}else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
				pc.setPassword(passwords.get(identifier));// //▲【这里非常重要】▲
			}
		}
	}
 
}

报错信息:

16:22:32.774 [main] WARN  o.a.c.p.PhaseInterceptorChain - [doLog,475] - Interceptor for {http://www.webservice.xxx.com}CommonService#{http://www.webservice.xxx.com}HelloWorld has thrown exception, unwinding now
org.apache.cxf.binding.soap.SoapFault: Error reading XMLStreamReader: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:292)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:70)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.onMessage(ClientImpl.java:833)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponseInternal(HTTPConduit.java:1695)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponse(HTTPConduit.java:1572)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1373)
	at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
	at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:673)
	at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:63)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:537)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:446)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:361)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:319)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:339)
	at webserviceclient.main(webserviceclient.java:37)
Caused by: com.ctc.wstx.exc.WstxUnexpectedCharException: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at com.ctc.wstx.sr.StreamScanner.throwUnexpectedChar(StreamScanner.java:653)
	at com.ctc.wstx.sr.BasicStreamReader.nextFromProlog(BasicStreamReader.java:2133)
	at com.ctc.wstx.sr.BasicStreamReader.next(BasicStreamReader.java:1181)
	at com.ctc.wstx.sr.BasicStreamReader.nextTag(BasicStreamReader.java:1204)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:173)
	... 16 common frames omitted
Exception in thread "main" org.apache.cxf.binding.soap.SoapFault: Error reading XMLStreamReader: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:292)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:70)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.onMessage(ClientImpl.java:833)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponseInternal(HTTPConduit.java:1695)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleResponse(HTTPConduit.java:1572)
	at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1373)
	at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
	at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:673)
	at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:63)
	at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:308)
	at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:537)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:446)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:361)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:319)
	at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:339)
	at webserviceclient.main(webserviceclient.java:37)
Caused by: com.ctc.wstx.exc.WstxUnexpectedCharException: Unexpected character '{' (code 123) in prolog; expected '<'
 at [row,col {unknown-source}]: [1,1]
	at com.ctc.wstx.sr.StreamScanner.throwUnexpectedChar(StreamScanner.java:653)
	at com.ctc.wstx.sr.BasicStreamReader.nextFromProlog(BasicStreamReader.java:2133)
	at com.ctc.wstx.sr.BasicStreamReader.next(BasicStreamReader.java:1181)
	at com.ctc.wstx.sr.BasicStreamReader.nextTag(BasicStreamReader.java:1204)
	at org.apache.cxf.binding.soap.interceptor.ReadHeadersInterceptor.handleMessage(ReadHeadersInterceptor.java:173)
	... 16 more

 

展开
收起
爱吃鱼的程序员 2020-06-06 09:52:55 1017 0
1 条回答
写回答
取消 提交回答
  • 爱吃鱼的程序员
    https://developer.aliyun.com/profile/5yerqm5bn5yqg?spm=a2c6h.12873639.0.0.6eae304abcjaIB
                        <p>好几天了,自己终于找到问题了,是ehcache-xxx.jar 和ehcache-core-xxx.jar冲突, </p>

    解决方法:

        <!-- Shiro使用EhCache-core缓存框架 -->
            <dependency>
                <groupId>org.apache.shiro</groupId>
                <artifactId>shiro-ehcache</artifactId>
                <version>${shiro.version}</version>
                
                <exclusions>
                    <exclusion>
                          <groupId>net.sf.ehcache</groupId>
                        <artifactId>ehcache-core</artifactId>
                    </exclusion>
                </exclusions>
            </dependency>

     <!-- 使用EhCache缓存框架 -->

             <dependency>
                 <groupId>org.apache.cxf</groupId>
                  <artifactId>cxf-rt-ws-security</artifactId>
                 <version>3.2.5</version>
             </dependency>

     

    2020-06-06 09:53:11
    赞同 展开评论 打赏
问答分类:
安全 Java 数据安全/隐私保护 密钥管理服务
问答标签:
Spring Boot web service Spring Boot cxf报错 Spring Boot web service cxf
问答地址:
开发者社区 > 安全 > 问答

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关问答
我这边springboot配置了schedulerx2的信息,启动服务初始化报错这是为什么
2471
1
0
springboot dubbo使用的是2.6.2,结合seata1.5.1,报错要怎么解决啊?
1005
1
0
springboot 使用mybites作为持久层编写webservice问题?
518
1
0
springboot+mybatis+thymeleaf 前台传值为什么报错
750
1
0
前端请求SpringBoot后台的put方法接口时,后台报错:不支持HTTP请求方法异常,该如何解决
1732
1
0
SpringBoot 报错 Inferred type ‘S’ for type parameter
599
0
0
SpringBoot项目集成POI解析处理excel文件时异常报错:无法找POI包下的类,该如何解决
765
1
0
Spring Boot 报错:not found in classpath
621
0
0
SpringBoot 在标记@Service的类中调用静态方法报错:初始化错误异常,请问该如何解决?
1733
2
0
SpringBoot 文件实体Bean报错:无效的bean属性
853
2
0
问答排行榜
最热
最新
1 通过阿里云代备案系统进行个人快速备案 2699889
2 【大咖问答】对话PostgreSQL 中国社区发起人之一,阿里云数据库高级专家 德哥 1818314
3 据说在家办公的程序员是这样写代码的? 1792338
4 阿里云开放端口权限 689923
5 如何升级配置 536074
6 【藏经阁一起读(27)】本周推荐《Apache Flink案例集(2022版)》,你有哪些心得? 522460
7 【精品问答】python技术1000问(1) 514001
8 Flink Forward Asia 2021 有奖问答 512807
9 Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案) 456921
10 OceanBase 使用动画(持续更新) 359266
11 阿里云LNAMP(Linux + Nginx + Apache + MySQL + PHP)环境一键安装脚本 329722
12 OSS存储服务-客户端工具 321336
13 为体验实验室取一个新名字。 307317
14 企业邮箱发送邮件时,若出现投递失败产生退信,内容提示包含如下: the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help 303858
15 Win Server 2003-2016 加密勒索事件必打补丁合集 295162
16 FLASH播放器,在IE浏览器下显示请确定您的域名已完成备案和CNAME绑定 283657
17 安全组详解,新手必看教程 277260
18 写code还是做管理,开发者如何进行职业规划? 268469
19 惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束) 255828
20 阿里云手机和阿云浏览器连接问题专帖 235631
1 国内AI大模型高考数学成绩超GPT-4o,如何看待这一结果? 511
2 如何避免“写代码5分钟,调试2小时”的尴尬? 430
3 通义灵码生成Git Commit的时候,偶尔生成中文,偶尔生成英文,根本无法控制生成的语言。 107
4 一键部署3D卡通风格模型,分享部署过程及使用体验 504
5 展示你通过AI修饰的自然风光照片,并讲述你的拍摄和编辑过程 884
6 机器学习PAI现在一直在重试,怎样停掉? 213
7 请问机器学习PAI eas服务拉取dockerhub失败怎么办? 169
8 请教下机器学习PAI的代码配置没有链接测试吗? 100
9 平头哥芯片W800:芯片如何购买? 137
10 阿里云Grafana升级10后 已有的 飞书webhook 报警机器人不再工作。 请问如何排查? 145
11 请问通义灵码IDEA生成Git Commit Message 如何默认生成中文注释 100
12 Nacos登录密码忘记了如何修改? 250
13 你知道APP是怎么开发的吗? 1478
14 如何提高企业的业务稳定性? 619
15 钉钉宜搭,A提交一个表单,如何设置该表单只能给B看? 138
16 百问求答 | 回答问题即有机会得米家落地扇 326
17 集成&amp;自动化:3层触发时,新增和删除触发正常,但编辑时不正常 107
18 分享AI代码助手的使用体验 756
19 分享一张AI生成的“老照片”,讲讲你与它的故事 999
20 idea上的通义灵码生成git提交消息老是会变成英文 没有切换中文的入口 268

相关课程

更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
    1763
    307
    去学习
  • SpringBoot实战教程
    1093
    59
    去学习
  • SpringBoot快速掌握 - 核心技术
    9977
    73
    去学习
  • SpringBoot快速掌握 - 高级应用
    3379
    41
    去学习
  • Springboot项目云开发快速迁移
    658
    1
    去学习
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
    1505
    17
    去学习
    • 推荐问答
    乘风问答官招募中!机械键盘免费拿

    相关文章

  • 智能家居系统的安全性分析与防护措施
  • 探索Android 12中的隐私保护新特性
  • 微服务架构下的数据库设计策略
  • 深入理解操作系统:从进程管理到内存分配
  • Java中的Lambda表达式与函数式编程

    • 相关电子书

    更多
    • WEB SERVICE EFFICENCY 立即下载
    Apache Dubbo3 源码深入解读 立即下载
    低代码开发师(初级)实战教程 立即下载

    相关实验场景

    更多
  • 从零搭建Spring Boot的Hello World
    14233
    1.0小时
    去实验