我们使用Apache Axis2实现Web服务,并与WS-Security集成(使用Apache Rampart模块)。
我们正在尝试定义 Ws-Security 策略,该策略不会强制使用者在 Usernametoken 中发送密码,因为我们仅根据数据库验证用户名 - 实际身份验证是通过密钥交换(非对称绑定)机制执行的。
当我们尝试以下断言时,Axis2 只是忽略了 NoPassword。
<sp:SupportingTokens>
<wsp:Policy>
<sp:UsernameToken>
<wsp:Policy>
<sp:NoPassword/>
</wsp:Policy>
</sp:UsernameToken>
</wsp:Policy>
</sp:SupportingTokens>
在 Ws-Security 中,NoPassword 不是一个有效的断言吗?
框架:
Apache Axis2 v1.6.2
阿帕奇城墙 v1.6.2
它是 WS-Security Policy 1.2 中的有效策略断言,但未针对策略语言 1.1 定义。在 1.2 中编写您的策略,然后 Apache Rampart 将为您完成这项工作。请查看此JIRA[1]以获取更多信息。
[1] - https://issues.apache.org/jira/browse/RAMPART-385