CXF加密密码的WS-security(用户名令牌)是可能的

    if (pc.getIdentifier().equals("joe")) {
        // set the password on the callback. This will be compared to the
        // password which was sent from the client.
        pc.setPassword("password");
    }

   if (pc.getIdentifer().equals("joe") {
       if (!pc.getPassword().equals("password")) {
            throw new IOException("wrong password");
       }
    }

答案（我已经尝试过了）在这个博客页面中找到：

http://coheigea.blogspot.com/2011/06/custom-token-validation-in-apache-cxf.html

其本质是创建org.apache.ws.security.validate.UsernameTokenValidator的子类，并覆盖verifyPlentextPassword方法。在该方法中，传递UsernameToken（提供getName和getPassword）。如果它们无效，则引发异常。

要在弹簧配置中安装自定义验证器，请添加例如

  <jaxws:properties>
    <entry key="ws-security.ut.validator">
        <bean class="com.example.webservice.MyCustomUsernameTokenValidator" />
    </entry>
  </jaxws:properties>

进入<jaxws:endpoint/>。

回调处理程序用于提供明文密码或验证明文密码已知的摘要密码。

但是，如果你不知道明文，即它的单向散列，那么回调接口是不合适的，你应该创建一个实现Validator接口的类。

以下是我的接口示例实现，该接口使用JPA存储库，其中密码已存储为BCrypt哈希。

与此处记录的ws-security.ut.validator属性一起使用

即作为CXF属性<entry key="ws-security.ut.validator" value-ref="com.package.CustomUsernameTokenValidator" />

public class CustomUsernameTokenValidator implements Validator {
    @Autowired
    ProfileRepository profileRepository;
    @Override
    public Credential validate(Credential credential, RequestData requestData) throws WSSecurityException {
        Profile profile = profileRepository.findByName(credential.getUsernametoken().getName());
        if (profile != null) {
            if (BCrypt.checkpw(credential.getUsernametoken().getPassword(), profile.getPassword())) {
                return credential;
            }
        }
        throw new WSSecurityException(WSSecurityException.ErrorCode.FAILED_AUTHENTICATION);     
    }
}