驗證 PHP SOAP SERVER 中的 WS-security 密碼摘要

Question

我需要在 PHP-Soap webservice 上實現 WS-Security 密碼摘要。 我到處尋找如何做到這一點，但我一無所獲。 through trial and error I've found out that PHP Soap server will call a "Secutity" function implemented in Service class where verification will be performed. 現在我的 function 看起來像這樣：

public function Security($UsernameToken)
{

    $this->log($UsernameToken);
    $loggHelper = [];
    $loggHelper['nonce'] = unpack('H*', base64_decode($UsernameToken->Nonce))[1];
    $loggHelper['created'] = pack('a*', $UsernameToken->Created);
    $loggHelper['password'] = pack('a*', 'test');
    $loggHelper['passhash1'] = base64_encode(pack('H*',sha1($loggHelper['nonce'].$UsernameToken->Created.$loggHelper['password'])));
    $this->log($loggHelper);
    if($UsernameToken->Password==$loggHelper['passhash1'])
        return true;
    else
    {
        return new SoapFault("401", "Prohibited");
    }

}

問題是，我的摘要與測試客戶端（SoapUI）提供的密碼不同

日志 output 如下所示：

$UsernameToken = {"Username":"test","Password":"HMxOK\/pg3mOq71N2F5Znb7xDdcw=","Nonce":"BgbT8vrQb\/afX7OC3KPb0Q==","Created":"2020-06-24T07:31:11.731Z"}

$loggerHelper = {"nonce":"0606d3f2fad06ff69f5fb382dca3dbd1","created":"2020-06-24T07:31:11.731Z","password":"test","passhash1":"gJGXpD3yYDmLY6qMhRtKYWr33IA="}

Answer 1

先說幾點：

• 出於安全原因，您不應記錄任何憑據 - 能夠訪問日志文件的每個人都可以訪問憑據！
• SHA1 根本不是安全加密算法 - 請參閱https://crypto.stackexchange.com/questions/48289/how-secure-is-sha1-what-are-the-chances-of-a-real-exploit

我建議使用

• https://www.php.net/openssl_encrypt
• https://www.php.net/openssl_decrypt

用於加密，它包含在 PHP 本身中。

或者您使用一個框架來處理引擎蓋下的安全性。 例如（但我不確定）symfony 應該自動為您執行此操作 - 請在https://symfony.com/doc/current/controller/soap_web_service.ZFC35FDC70D5FCC69D2569883A822E閱讀更多內容