Apache CXF et WS-Security
Bonjour,
J'ai développé un petit WS avec Apache CXF 2.2.8.
Le client et le serveur "de base" fonctionnent :
Du coup j'ai attaqué l'étape "sécuriser les échanges" en utilisant WS-Security (en utilisant les certificats X509). Je pars sur un scénario authentification mutuel histoire de blinder le truc.
J'ai commencé par la signature des requêtes et plus particulièrement la signature de la réponse du serveur (faut bien commencer par un bout).
le serveur :
<jaxws:endpoint id="soapServer" implementor="#myServiceImpl" address="/myService" publish="true">
<jaxws:outInterceptors>
<ref bean="signResponse"/>
</jaxws:outInterceptors>
</jaxws:endpoint>
<bean id="signResponse" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
<constructor-arg>
<map>
<entry key="action" value="Signature"/>
<entry key="user" value="ServerKeyAlias"/>
<entry key="signaturePropFile" value="ServerJKS.properties"/>
<entry key="passwordCallbackClass" value="com.MyServerPasswordCallback"/>
<entry key="signatureParts" value="{myResponseElement}{http://schemas.xmlsoap.org/soap/envelope/}Body"/>
</map>
</constructor-arg>
</bean>
le client :
<jaxws:client id="soapClient" serviceClass="com.MyService" address="/myService" serviceName="myService">
</jaxws:client>
Cette première partie fonctionne. Je reçois bien la réponse avec signature du serveur.
Par contre il n'y a aucune vérification de part et d'autre (normal je n'ai rien mis encore).
Du coup je me suis dit que j'allais faire la même chose côté client (c.a.d) signer la requête pour le serveur...
Petite modif du client...
<jaxws:client id="soapClient" serviceClass="com.MyService" address="/myService" serviceName="myService">
<jaxws:outInterceptors>
<ref bean="signRequest"/>
</jaxws:outInterceptors>
</jaxws:client>
<bean id="signRequest" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
<constructor-arg>
<map>
<entry key="action" value="Signature"/>
<entry key="user" value="ClientKeyAlias"/>
<entry key="signaturePropFile" value="ClientJKS.properties"/>
<entry key="passwordCallbackClass" value="com.MyClientPasswordCallback"/>
<entry key="signatureParts" value="{myRequestElement}{http://schemas.xmlsoap.org/soap/envelope/}Body"/>
</map>
</constructor-arg>
</bean>
Je lance les tests et là côté serveur j'ai une erreur
Ce qui est bizarre c'est que j'ai tout de même la signature avec l'erreur...
<soap:Enveloppe>
Signature
...
<soap:Body>
<soap:Fault>
<faultcode>soap:MustUnderstand</faultcode>
<faultstring>MustUnderstand headers: [{http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd}Security] are not understood.</faultstring>
</soap:Fault>
</soap:Body>
</soap:Enveloppe>
...
Visiblement ça le chagrine de voir arriver un message signé et sans la vérif d'activée.
En fouillant on voit dans le header de la requête lorsque c'est signé :
<wsse:Security soap:mustUnderstand="1" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
J'imagine que ça a avoir qq chose.
En rajoutant la vérification de la signature au moins côté serveur ça fonctionne.
Ce que je ne comprend pas, pourquoi donc la vérification gène côté serveur alors que côté client ça ne gène pas de ne pas la faire ??? Alors que visiblement y'a le même header dans le SOAP.
J'ai lu qu'on pouvait setter des propriétés côté endpoint pour modifier le comportement,
mais la doc n'est pas exhaustive sur ces points.
Avez-vous déjà expérimenté ces problèmes ?
Est-ce que certains d'entre vous ont une explication pourquoi côté serveur ça emmerde et pas côté client ?
Merci
Répondre avec citation
Partager