Re: [cxf-zh] WSS4JInInterceptor为什么不验证HTTP GET的请求

33 views
Skip to first unread message
Message has been deleted

Freeman Fang

unread,
Nov 2, 2012, 8:30:49 AM11/2/12
to cxf...@googlegroups.com
因为WSS4JInInterceptor是服务于ws-security协议的, 而ws-security是基于soap之上的, 而soap request都是 HTTP POST的
-------------
Freeman(Yue) Fang

Red Hat, Inc. 
FuseSource is now part of Red Hat

On 2012-10-31, at 下午5:59, Wu RenHai wrote:


您好!

   请问一下,WSS4JInInterceptor为什么不验证HTTP GET的请求?
   这种做法导致我直接访问:http://10.1.1.51:9090/ws/onlineuserservice/queryOnlineUsers时,跳过了安全认证。
   我查了相关WS-Security的文档,没有说明使用HTTP-GET或者HTTP-POST方法来访问的内容呀。

   WSS4JInInterceptor中代码是这么写的:

    public final boolean isGET(SoapMessage message) {
        String method = (String)message.get(SoapMessage.HTTP_REQUEST_METHOD);
        return "GET".equals(method) && message.getContent(XMLStreamReader.class) == null;
    }
    
    public void handleMessage(SoapMessage msg) throws Fault {
        if (msg.containsKey(SECURITY_PROCESSED) || isGET(msg)) {
            return;
        }
        //...以下省略
    }

--
您收到此信息是由于您订阅了 Google 论坛“cxf-zh”论坛。
要在此论坛发帖,请发电子邮件到 cxf...@googlegroups.com
要退订此论坛,请发邮件至 cxf-zh-un...@googlegroups.com
更多选项,请通过 http://groups.google.com/group/cxf-zh?hl=zh-CN 访问该论坛
----
Apache CXF 首页 http://cwiki.apache.org/confluence/display/CXF/Index

Wu RenHai

unread,
Nov 20, 2012, 8:17:21 PM11/20/12
to cxf...@googlegroups.com
谢谢啦。

在 2012年11月2日星期五UTC+8下午8时31分10秒,freeman.fang写道:

Freeman Fang

unread,
Nov 20, 2012, 8:31:24 PM11/20/12
to cxf...@googlegroups.com
上个礼拜正好有和你一样问题的一个讨论, 看一下 CXF-4629里面的评论[1], 这个问题解决之后就能保证 HTTP GET request进不来了 

-------------
Freeman(Yue) Fang

Red Hat, Inc. 
FuseSource is now part of Red Hat

Reply all
Reply to author
Forward
0 new messages