[英]SOAP web service and Spring Security
我正在尝试使用Spring Security 3保护SOAP Web服务。
这是我的配置:
<jee:jndi-lookup id="dataSource" jndi-name="jdbc/myDB"
expected-type="javax.sql.DataSource" />
<http authentication-manager-ref="authenticationManager">
<intercept-url pattern="/**" access="ROLE_USER" requires-channel="https" />
<http-basic />
<logout logout-url="/logout" delete-cookies="JSESSIONID" />
</http>
<authentication-manager id="authenticationManager">
<authentication-provider>
<jdbc-user-service data-source-ref="dataSource" />
</authentication-provider>
</authentication-manager>
Tomcat配置为使用SSL,使用包含服务器私钥的密钥库。 我正在使用SOAPUI测试Web服务。 我创建了一个执行服务提供的操作之一的请求。 在“身份验证”部分中,我根据数据库中存在的值添加了测试用户的用户名和密码。 发送请求后,我希望创建一个会话,并且不需要再次进行身份验证。 在HTTP响应中,存在JSESSIONID cookie。 如果使用相同的机制保护网站的安全,则用户只有一次输入其凭据,直到需要重新认证的会话终止为止。
我的配置出了什么问题?
编辑:我忘记添加了,当我多次重新发送相同的请求时,收到的JSESSIONID cookie始终具有不同的值。 我应该期望它对于给定的会话是相同的吗?
在“ TestCase选项”下,您需要打开“维护HTTP会话”选项。 不幸的是,您必须分别为每个测试用例执行此操作,没有全局选项。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.