[Users] Contrôle de la SOAP fault dans BC Soap InflowSecurity
Victor Noël
victor.noel at linagora.com
Fri Jul 22 09:49:44 CEST 2016
Bonjour,
Au final :
- On a ouvert une issue JIRA pour ce problème :
https://jira.petalslink.com/browse/PETALSBCSOAP-190
- Il semble compliqué de le résoudre avec un workaround
- D'après les APIs de Axis/Rampart/WSS4J:
1) Avec le BC SOAP 4.3.x (Petals 4.3):
a) Si les mots de passe arrivent en clair sur le service, alors le
CallbackHandler doit effectivement jeter une Exception, mais pas une
RuntimeException, simplement une IOException ou une
UnsupportedCallbackException. Elle sera de toute façon empactée dans une
exception de WS-Security donc il ne faut rien y mettre comme information
spécifique dedans (pour éviter des problèmes de sécurité).
b) Si ils arrivent déjà hashé (ce qui est peut-être une bonne idée non
?!) alors le CallbackHandler doit simplement faire un setPassword avec le
mot de passe (non hashé) attendu et c'est le BC qui gérera la validation
elle-même.
2) Avec le BC SOAP 4.4.x (Petals 5), il faut toujours utiliser setPassword
et ne jamais jeter d'exception.
3) Dans tout les cas l'erreur ne sera pas joli dans la réponse :)
--
View this message in context: http://forum.petalslink.com/Controle-de-la-SOAP-fault-dans-BC-Soap-InflowSecurity-tp4025761p4025768.html
Sent from the Users (get help, provide help) mailing list archive at Nabble.com.
More information about the Users
mailing list