Discussion :

[ismou05]

Bonjour,

j'ai le wsdl d'un web service que je souhaite consommer. Je veux savoir comment peut-on déduire le mécanisme d'authentification d'un web service pour en prendre compte dans la réalisation du client WS.

Je suis nouveau en web service.

Merci,

[freddou17]

Bjr,

Ton authentification doit passer par les headers de la requête que tu crées pour générer ton appel SOAP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
header.put("username", user) 
header.put("mdp", mdp)

en espérant de mettre sur la bonne piste

++

[ismou05]

Bjr,

Ton authentification doit passer par les headers de la requête que tu crées pour générer ton appel SOAP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
header.put("username", user) 
header.put("mdp", mdp)

en espérant de mettre sur la bonne piste

++

Je me suis mal exprimé peut être. Ma question est la suivante: Comment je peux déduire, à partir du WSDL, le mécanisme d'authentification (Est-ce via un username+mdp, un usernameToken, un certificat...)?

Ta réponse suppose que l'on est dans le cas d'un WS avec une athentification username+mdp.

[freddou17]

ha ok,

regardes si ton wsdl implémente ws-security balise <wws, tu peux passer un user/mdp, un token (qu'il te faudra probablement récupérer avant, Kerberos, Oauth...).
Mais tu ne peux pas te renseigner auprès tu fournisseur ou récupérer une doc...?

++

[tchize_]

En général, si c'est une authentification httpbasic, bearer ou ssl client certificate, ce n'est pas renseigné dans le wsdl car ca ne fait pas partie du scope du webservice, ça fait partie du scope du protocole htt psur lequel repose le webservice. Uniquement si le webservice utilise wssecurity tu trouveras ce genre d'infos dans le wsdl, mais ce n'est pas le cas général.

[ismou05]

Merci pour vos réponses.

En effet, mon WSDL ne contient pas de détails concernant le mécanisme de sécurité. hormis des namespaces déclarés avec des préfixes (wsu, wsp, wsp1_2) dans la partie Définitions du xml. je n'y trouve rien d'autre.

Ci-joint le premier bout du wsdl.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<!--
 Published by JAX-WS RI at http://jax-ws.dev.java.net. RI's version is Metro/2.2.0-1 (tags/2.2.0u1-7139; 2012-06-02T10:55:19+0000) JAXWS-RI/2.2.6-2 JAXWS/2.2 svn-revision#unknown. 
-->
<!--
 Generated by JAX-WS RI at http://jax-ws.dev.java.net. RI's version is Metro/2.2.0-1 (tags/2.2.0u1-7139; 2012-06-02T10:55:19+0000) JAXWS-RI/2.2.6-2 JAXWS/2.2 svn-revision#unknown. 
-->
<definitions xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:wsp="http://www.w3.org/ns/ws-policy" xmlns:wsp1_2="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:wsam="http://www.w3.org/2007/05/addressing/metadata" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:tns="http://impl.ws.bancos.quipux.com.co/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns="http://schemas.xmlsoap.org/wsdl/" targetNamespace="http://impl.ws.bancos.quipux.com.co/" name="SiteBankIntegrationService">

Comme je l'ai mentionné plus haut, les préfixes, il n'y a rien qui explicite la sécurité du web service dans le reste du wsdl... Cela veut dire que l'on est dans le premier cas que tu as mentionné tchize_?
Si c'est, comment dois-je procéder? d'où j'aurai le certificat?

Merci,

[ismou05]

ha ok,

regardes si ton wsdl implémente ws-security balise <wws, tu peux passer un user/mdp, un token (qu'il te faudra probablement récupérer avant, Kerberos, Oauth...).
Mais tu ne peux pas te renseigner auprès tu fournisseur ou récupérer une doc...?

++

Le fournisseur du web service est un partenaire de mon client.. j'ai soumis ma requête à ce dernier et j'attends à ce qu'il aie des retours du fournisseur.

[tchize_]

Utiliser un WSDL sans doc c'est un peu casse pipe. Le WSDL te donne juste la liste des méthodes et des paramètres. Ca ne te donne aucune informations ce qu'attends concrêtement le serveur dans ces méthodes. Dans quel ordre tu es censé les appeler, quelles sont les contraintes buisness sur chaque paramètres, les règles de sécurités, etc. C'est un peux comme utiliser une api java avec juste la lsite des interfaces. C'est bien, mais avec la javadoc c'est mieux et avec un doc complète c'est encore mieux

Après pour savoir ce qu'il veux comme sécurité, le plus simple c'est d'envoyer une requête et regarder le message d'erreur

[ismou05]

J'ai fait une demande au client. J'attends la réponse.

Pour ce qui est du test, je l'ai fait aussi: Lorsque je requête le serveur, en exécutant le web service client, j'ai un message de retour comme quoi les données d'authentification sont incomplètes