- PVSM.RU - https://www.pvsm.ru -
Есть приложение, которое может запрашивать данные по определённому протоколу и есть сервис, который может отдавать данные, но по другому протоколу и требует авторизации по логину и паролю.
В приложении нет учётных данных необходимых для доступа к сервису. Необходимо подружить приложение и сервис.
Использовать шину: WSO2 Enterprise Service Bus [1], на которой настроить прокси-сервис.
Используем WSO2 ESB версии 4.7.0.
Так как целевой сервис защищён по стандарту WS-Security, то и доступ к нему будем настраивать по всей строгости стандарта.
Политики создаются как ресурсы в локальном репозитории, в интерфейсе: Manage — Service Bus — Local Entries — Add Local Entries — Add In-lined XML Entry.
Здесь и в дальнейшем имена могут даваться произвольные, но буду акцентировать на них внимание, потому что через них будут связываться все артефакты в одно целое
Указываем имя: service-policy
Указываем политику:
<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
wsu:Id="UTOverTransport">
<wsp:ExactlyOne>
<wsp:All>
<sp:TransportBinding xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<wsp:Policy>
<sp:TransportToken>
<wsp:Policy>
<sp:HttpsToken RequireClientCertificate="false"/>
</wsp:Policy>
</sp:TransportToken>
<sp:AlgorithmSuite>
<wsp:Policy>
<sp:Basic128/>
</wsp:Policy>
</sp:AlgorithmSuite>
<sp:Layout>
<wsp:Policy>
<sp:Lax/>
</wsp:Policy>
</sp:Layout>
<sp:IncludeTimestamp/>
</wsp:Policy>
</sp:TransportBinding>
<sp:SignedSupportingTokens xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<wsp:Policy>
<sp:UsernameToken sp:IncludeToken="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy/IncludeToken/AlwaysToRecipient"/>
</wsp:Policy>
</sp:SignedSupportingTokens>
<ramp:RampartConfig xmlns:ramp="http://ws.apache.org/rampart/policy">
<ramp:user>MyUsername</ramp:user>
<ramp:passwordCallbackClass>s.e.r.PasswordCallbackHandler</ramp:passwordCallbackClass>
</ramp:RampartConfig>
</wsp:All>
</wsp:ExactlyOne>
</wsp:Policy>
Основной частью в этой политике является указание имени пользователя целевого сервиса и класса, который в нашем случае просто подставит необходимый пароль, класс s.e.r.PasswordCallBackHandler:
package s.e.r;
import org.apache.ws.security.WSPasswordCallback;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;
import java.io.IOException;
public class PasswordCallBackHandler implements CallbackHandler
{
private static final String PASSWORD = "MyPassword";
@Override
public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException
{
for (Callback callback : callbacks)
{
if (callback instanceof WSPasswordCallback)
{
WSPasswordCallback pc = (WSPasswordCallback) callback;
if (pc.getUsage() == WSPasswordCallback.USERNAME_TOKEN_UNKNOWN)
{
if (pc.getPassword().equals(PASSWORD))
return;
throw new UnsupportedCallbackException(callback, "Check failed");
}
pc.setPassword(PASSWORD);
} else
{
throw new UnsupportedCallbackException(callback, "Unrecognized Callback");
}
}
}
}
Пакуем в jar и кладём в WSO2_HOME/repository/components/lib/.
Рестартуем WSO2.
Указываем имя: empty-policy.
Указываем политику:
<wsp:Policy xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
wsu:Id="UTOverTransport">
<wsp:ExactlyOne>
<wsp:All>
<sp:TransportBinding xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<wsp:Policy/>
</sp:TransportBinding>
<sp:SignedSupportingTokens xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<wsp:Policy/>
</sp:SignedSupportingTokens>
</wsp:All>
</wsp:ExactlyOne>
</wsp:Policy>
Указываем имя: my-endpoint.
Указываем адрес сервиса.
В дополнительный опциях отмечаем использование WS-Security и указываем политики для исходящих и входящих сообщений созданные ранее.
Исходник Endpoint'а:
<endpoint name="my-endpoint">
<address uri="http://service/soap/">
<enableSec inboundPolicy="empty-policy" outboundPolicy="service-policy"/>
</address>
</endpoint>
XSLT-преобразования создаются там же где и политики: Manage — Service Bus — Local Entries — Add Local Entries — Add In-lined XML Entry.
Нам необходимо привести запрос нашего приложения к виду, который понимает сервис:
Указываем имя: in-xslt
Указываем преобразование:
<xsl:stylesheet xmlns:xsl="http://www.w3.org/1999/XSL/Transform" version="1.0">
<xsl:template match="/">
<!--тут само преобразование-->
</xsl:template>
</xsl:stylesheet>
Нам нужно ответ сервиса привести к виду, понятному для приложения. Шаг идентичен шагу для входящего сообщения, только имя: out-xslt.
В UI: Manage — Service — Add — Proxy Service — Custom Proxy
Указываем имя: external-service. По этому имени будет доступен ваш сервис на шине, например: localhost [2]:8280/services/external-service.
В нашем случае снимаем отметку с протокола https.
Дальше переключаемся в режим исходно кода (switch to source view) и приводим содержимое приблизительно к следующему:
<?xml version="1.0" encoding="UTF-8"?>
<proxy xmlns="http://ws.apache.org/ns/synapse"
name="external-service"
transports="http"
statistics="disable"
trace="disable"
startOnLoad="true">
<target faultSequence="fault" endpoint="my-endpoint">
<inSequence>
<xslt key="in-xslt"/>
<send>
<endpoint key="my-endpoint"/>
</send>
</inSequence>
<outSequence>
<xslt key="out-xslt"/>
<send/>
</outSequence>
</target>
<description/>
</proxy>
Тут указаны две последовательности для входящего и исходящего сообщения, обе начинаются с соответствующего преобразования и затем посылают сообщение в нужном направлении.
Готово!
Потому что не нашёл как настроить и где смотреть конечные сообщения.
Подробнее про fiddler [3]:
Добавляем медиаторы в последовательность прокси сервиса, удаляем заголовок Action:
<inSequence>
<xslt key="in-xslt"/>
<header name="Action" value=""/>
<property name="SOAPAction" value="" scope="transport"/>
<send>
<endpoint key="my-endpoint"/>
</send>
</inSequence>
Указываем кодировку, в которой возвращаем сообщения:
<outSequence>
<xslt key="out-xslt"/>
<property name="messageType"
value="text/xml;charset=windows-1251"
scope="axis2"
type="STRING"/>
<send/>
</outSequence>
Например:
<soapenv:Envelope>
<soapenv:Body>
<part1/>
<part2/>
</soapenv:Body>
</soapenv:Envelope>
WSO2 по умолчанию считает что ответ должен состоять из одной части, поэтому передают на преобразование то что находится по пути: s11:Body/child::*[position()=1] | s12:Body/child::*[position()=1], как результат мы можем трансформировать только первую часть, чтобы это исправить меняем вызов преобразователя в сервисе:
<outSequence>
<xslt xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"
key="stav-out-xslt"
source="SOAP-ENV:Body"/>
<send/>
</outSequence>
… и учитываем это в преобразователе:
<xsl:stylesheet>
<xsl:template match=".">
<xsl:apply-templates select="/part1"/>
<xsl:apply-templates select="/part2"/>
</xsl:template>
<!--в нашем случае part1 нужно было проигнорировать-->
<xsl:template match="part1"/>
<xsl:template match="part2">
<forbody>
<!--тут трансформации обёрнутые в произвольный тег, он необходим, чтоб в конечном результате не пропал корневой элемент ответа-->
</forbody>
</xsl:template>
</xsl:stylesheet>
Есть ощущение что можно обойтись одной, но с единой политикой выходила ошибка, о том, что ответ сервиса не содержит заголовков безопасности. А он действительно их не содержит. Чтоб это обойти пришлось писать пустую политику для ответа.
Неуклюжее решение с классом для хранения пароля очевидный костыль, который нужно заменить подходящим решением, либо встроенным, либо велосипедом.
Автор: esadykov
Источник [7]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/news/54763
Ссылки в тексте:
[1] WSO2 Enterprise Service Bus: http://wso2.com/products/enterprise-service-bus/
[2] localhost: http://localhost
[3] fiddler: http://www.telerik.com/fiddler
[4] habrahabr.ru/sandbox/39392/: http://habrahabr.ru/sandbox/39392/
[5] habrahabr.ru/post/140147/: http://habrahabr.ru/post/140147/
[6] habrahabr.ru/company/infopulse/blog/156711/: http://habrahabr.ru/company/infopulse/blog/156711/
[7] Источник: http://habrahabr.ru/post/212267/
Нажмите здесь для печати.