Мой пользовательский STS не может разрешить токен UseKey в RST, сгенерированный платформой Metro
У меня есть своя собственная служба STS, использующая систему Geneva. Существует конечная точка с MutualCertificateBinding, как показано ниже
- Использование AsymmetricSecurityBindingElement
- Уровень защиты - Знак
- По https
Я скопировал часть его WSDL, как показано ниже
<sp:AsymmetricBinding xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702">
<wsp:Policy>
<sp:InitiatorToken>
<wsp:Policy>
<sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient">
<wsp:Policy>
<sp:WssX509V3Token10/>
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:InitiatorToken>
<sp:RecipientToken>
<wsp:Policy>
<sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/Never">
<wsp:Policy>
<sp:WssX509V3Token10/>
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:RecipientToken>
...
</sp:AsymmetricBinding>
Я сделал клиентское приложение C#, согласовывающее токен безопасности от mySTS с асимметричным ключом, UseKey является сертификатом X509. Работает просто отлично.
Я также сделал вызов Java-сервлета в mySTS напрямую для выдачи токена, он использует тип PublicKey, UseKey устанавливается в RST вручную в качестве сертификата X509. Это также работает просто отлично, со следующим фрагментом кода
SecurityTokenService sts = new SecurityTokenService(new URL(Constant.StsMexEndpointAddress));
IWSTrust13Sync stsService = sts.getMutualCertificateWithMessageSecurityBindingIWSTrust13Sync();
RequestSecurityTokenType rst = new RequestSecurityTokenType();
rst.getAny().add(getRequestTypeElement());
rst.getAny().add(getTokenTypeElement());
rst.getAny().add(getKeyTypeElement());
rst.getAny().add(getApplyToElement());
rst.getAny().add(getUseKeyElement());
return message;
token = stsService.trust13Issue(rst);
public static Element getUseKeyElement(){
//code to generate UseKey element manually, it is a BinarySecurityToken
}
Наш клиент использует другой Java-сервлет, вызывающий Java-сервис, защищенный mySTS. Metro будет обрабатывать вызов STS автоматически, ниже описано, как сконфигурирован java-сервис (используя выданный STS токен подтверждения)
- TokenType: 2.0
- KeyType: общедоступный
- KeySize:256
Ниже приведен фрагмент кода для вызова службы Java.
STSIssuedTokenConfiguration config = new MySTSIssuesTokenConfiguration();
STSIssuedTokenFeature feature = new STSIssuedTokenFeature(config);
//Initialize UserContext service with STS configuration above
Service_Service service = new Service_Service();
Service stub = service.getServicePort(new WebServiceFeature[]{feature});
stub.ping();
STS выдает исключение при попытке разрешить элемент UseKey. Это выглядит как ниже
Handling an exception. Exception details: System.IdentityModel.Protocols.WSTrust.InvalidRequestException: ID3092: The specified UseKey 'SecurityKeyIdentifier
(
IsReadOnly = False,
Count = 1,
Clause[0] = RsaKeyIdentifierClause(Modulus = sH/OHZwDUBExFgbLTslliY4xH3jP63vQ1F3yKxwjcK3jfYeiM3IC6ag6RARLMdX3emhjMu2djCt+/eTB9nq2yMs51kesev23yfywjIkcpZI5c1yb3wL7I+Fh+aa+bDqo0VNjoCeHlevjTVxc82l+q5iPkTZJ7rfe+jZUfZNl+D8=, Exponent = AQAB)
)
' cannot be resolved to a token that would prove the client's possession of the private key.
at System.IdentityModel.Protocols.WSTrust.WSTrustSerializationHelper.ReadRSTXml(XmlReader reader, RequestSecurityToken rst, WSTrustSerializationContext context, WSTrustConstantsAdapter trustConstants)
at System.IdentityModel.Protocols.WSTrust.WSTrust13RequestSerializer.ReadXmlElement(XmlReader reader, RequestSecurityToken rst, WSTrustSerializationContext context)
at System....
Я попытался сравнить 2 сообщения, отправленные с 2 сервлетов Java. Один генерируется программно, отправленным моим сервлетом, а другой генерируется Metro, отправленным сервлетом моего клиента, единственное, что я вижу, - это элемент UseKey. Один из моих, который работает хорошо
<UseKey>
<BinarySecurityToken:BinarySecurityToken
xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:BinarySecurityToken="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:d5p1="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3">MIIDCTCCAfGgAw.....25C057w==
</BinarySecurityToken:BinarySecurityToken>
</UseKey>
Один из моих клиентов, который не работает (который генерируется Metro Framework)
<trust:UseKey>
<ns10:KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<KeyValue>
<RSAKeyValue>
<Modulus>sH/OHZwDUBExFgbLTsll...rfe+jZUfZNl+D8=</Modulus>
<Exponent>AQAB</Exponent>
</RSAKeyValue>
</KeyValue>
</ns10:KeyInfo>
</trust:UseKey>
AFAI может видеть, что это не удалось, потому что STS не может разрешить элемент UseKey, который является RSV KeyValue, в то время как его UseKeyResolver имеет только один X509SecurityTokenResolver, инициированный запросом InitiatorToken.
Итак, мой вопрос
- Есть ли способ установить UseKey программно при обращении к сервису Java?
- Есть ли способ разрешить STS разрешать элемент UseKey?