Websphere Liberty 服务器无法在自定义 TAI 中加载 WebTrustAssociationFailedException
Websphere Liberty server can't load WebTrustAssociationFailedException in custom TAI
我正在为实现 OAuth2 的 Websphere Liberty 服务器构建信任关联拦截器 (TAI)。它运行良好,除了当我遇到错误并抛出 WebTrustAssociationFailedException 时,我在服务器日志中收到如下错误:
[4/17/15 15:26:55:523 CDT] 000000b1 com.ibm.ws.webcontainer.security.internal.TAIAuthenticator E CWWKS9107E: Trust Association Init is unable to load Trust Association class com.ibm.websphere.security.WebTrustAssociationFailedException: called with invalid state param
at com.ibm.tivoli.monitoring.OAuthTai.OAuthTAI.getBearerToken(OAuthTAI.java:299)
at com.ibm.tivoli.monitoring.OAuthTai.OAuthTAI.negotiateValidateandEstablishTrust(OAuthTAI.java:420)
at com.ibm.ws.webcontainer.security.internal.TAIAuthenticator.authenticate(TAIAuthenticator.java:102)
at com.ibm.ws.webcontainer.security.WebAuthenticatorProxy.handleTAI(WebAuthenticatorProxy.java:163)
at com.ibm.ws.webcontainer.security.WebAuthenticatorProxy.authenticate(WebAuthenticatorProxy.java:84)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.authenticateRequest(WebAppSecurityCollaboratorImpl.java:724)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.determineWebReply(WebAppSecurityCollaboratorImpl.java:567)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.performSecurityChecks(WebAppSecurityCollaboratorImpl.java:438)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.preInvoke(WebAppSecurityCollaboratorImpl.java:389)
at com.ibm.wsspi.webcontainer.collaborator.CollaboratorHelper.preInvokeCollaborators(CollaboratorHelper.java:443)
at com.ibm.ws.webcontainer.osgi.collaborator.CollaboratorHelperImpl.preInvokeCollaborators(CollaboratorHelperImpl.java:267)
at com.ibm.ws.webcontainer.filter.WebAppFilterManager.invokeFilters(WebAppFilterManager.java:1026)
at com.ibm.ws.webcontainer.webapp.WebApp.handleRequest(WebApp.java:4499)
at com.ibm.ws.webcontainer.osgi.DynamicVirtualHost.handleRequest(DynamicVirtualHost.java:282)
at com.ibm.ws.webcontainer.WebContainer.handleRequest(WebContainer.java:954)
at com.ibm.ws.webcontainer.osgi.DynamicVirtualHost.run(DynamicVirtualHost.java:252)
at com.ibm.ws.http.dispatcher.internal.channel.HttpDispatcherLink$TaskWrapper.run(HttpDispatcherLink.java:584)
at com.ibm.ws.threading.internal.Worker.executeWork(Worker.java:439)
at com.ibm.ws.threading.internal.Worker.run(Worker.java:421)
at java.lang.Thread.run(Thread.java:795)
上面错误中看到的消息"called with invalid state param"是我在抛出异常时提供的消息。
我不明白为什么找不到这个 class。在构建过程中,我从 com.ibm.ws.webcontainer_1.0.1.jar 得到了这个 class。我原以为服务器已经内置了这个。我的 server.xml 已启用:
<feature>appSecurity-2.0</feature>
但鉴于它没有找到它,我将这个 jar 添加到我在服务器上的库中,以便它可以从那里获取它,但这没有什么区别。抛出此异常时仍然出现上述错误。由于它是定义的 TAI 接口的一部分,并且接口中的其他 class 像 TAIResult 一样没有问题,我很困惑。
最简单的方法是使用 Java EE 安全性来保护您的应用程序并创建 TAI 来拦截对此应用程序的调用,并使用以下方法基于传递的令牌和用户 ID 创建 TAIResult:
public static TAIResult create(int status, String principal);
这将在 WAS 注册表中找到主要用户,对其进行身份验证并创建 LTPA 令牌。
您当然不想或不需要将凭据(例如密码)传递给 WebSphere; TAI 进程不需要实际密码 - 框架的本质是允许通过替代方式建立信任关系。
此外 - 也没有迫切需要推出您自己的 TAI class 和相关的专有 SSO 协议(令牌、加密等)。
WebSphere 7+ 附带开箱即用的 OAuth 和 SAML TAI(尽管需要配置来设置它们)。这为您提供了两个开放标准规范供您选择。您最终没有在 WebSphere 端编写任何代码。这些 SSO 协议被广泛采用且成熟 - 由整个行业的 Web 开发人员审查,如果实施得当,几乎没有或没有攻击媒介。这些方法也不需要 DNS 或域对齐 - 它们旨在跨域工作。
事实证明这是错误消息的简单情况。似乎是说 WebTrustAssociationFailedException class 没有找到,但事实并非如此。它实际上只是报告抛出了异常。 Websphere 团队有一个内部缺陷需要更正消息,并将在未来的版本中修复。现在可以安全地忽略它。
我正在为实现 OAuth2 的 Websphere Liberty 服务器构建信任关联拦截器 (TAI)。它运行良好,除了当我遇到错误并抛出 WebTrustAssociationFailedException 时,我在服务器日志中收到如下错误:
[4/17/15 15:26:55:523 CDT] 000000b1 com.ibm.ws.webcontainer.security.internal.TAIAuthenticator E CWWKS9107E: Trust Association Init is unable to load Trust Association class com.ibm.websphere.security.WebTrustAssociationFailedException: called with invalid state param
at com.ibm.tivoli.monitoring.OAuthTai.OAuthTAI.getBearerToken(OAuthTAI.java:299)
at com.ibm.tivoli.monitoring.OAuthTai.OAuthTAI.negotiateValidateandEstablishTrust(OAuthTAI.java:420)
at com.ibm.ws.webcontainer.security.internal.TAIAuthenticator.authenticate(TAIAuthenticator.java:102)
at com.ibm.ws.webcontainer.security.WebAuthenticatorProxy.handleTAI(WebAuthenticatorProxy.java:163)
at com.ibm.ws.webcontainer.security.WebAuthenticatorProxy.authenticate(WebAuthenticatorProxy.java:84)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.authenticateRequest(WebAppSecurityCollaboratorImpl.java:724)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.determineWebReply(WebAppSecurityCollaboratorImpl.java:567)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.performSecurityChecks(WebAppSecurityCollaboratorImpl.java:438)
at com.ibm.ws.webcontainer.security.WebAppSecurityCollaboratorImpl.preInvoke(WebAppSecurityCollaboratorImpl.java:389)
at com.ibm.wsspi.webcontainer.collaborator.CollaboratorHelper.preInvokeCollaborators(CollaboratorHelper.java:443)
at com.ibm.ws.webcontainer.osgi.collaborator.CollaboratorHelperImpl.preInvokeCollaborators(CollaboratorHelperImpl.java:267)
at com.ibm.ws.webcontainer.filter.WebAppFilterManager.invokeFilters(WebAppFilterManager.java:1026)
at com.ibm.ws.webcontainer.webapp.WebApp.handleRequest(WebApp.java:4499)
at com.ibm.ws.webcontainer.osgi.DynamicVirtualHost.handleRequest(DynamicVirtualHost.java:282)
at com.ibm.ws.webcontainer.WebContainer.handleRequest(WebContainer.java:954)
at com.ibm.ws.webcontainer.osgi.DynamicVirtualHost.run(DynamicVirtualHost.java:252)
at com.ibm.ws.http.dispatcher.internal.channel.HttpDispatcherLink$TaskWrapper.run(HttpDispatcherLink.java:584)
at com.ibm.ws.threading.internal.Worker.executeWork(Worker.java:439)
at com.ibm.ws.threading.internal.Worker.run(Worker.java:421)
at java.lang.Thread.run(Thread.java:795)
上面错误中看到的消息"called with invalid state param"是我在抛出异常时提供的消息。
我不明白为什么找不到这个 class。在构建过程中,我从 com.ibm.ws.webcontainer_1.0.1.jar 得到了这个 class。我原以为服务器已经内置了这个。我的 server.xml 已启用:
<feature>appSecurity-2.0</feature>
但鉴于它没有找到它,我将这个 jar 添加到我在服务器上的库中,以便它可以从那里获取它,但这没有什么区别。抛出此异常时仍然出现上述错误。由于它是定义的 TAI 接口的一部分,并且接口中的其他 class 像 TAIResult 一样没有问题,我很困惑。
最简单的方法是使用 Java EE 安全性来保护您的应用程序并创建 TAI 来拦截对此应用程序的调用,并使用以下方法基于传递的令牌和用户 ID 创建 TAIResult:
public static TAIResult create(int status, String principal);
这将在 WAS 注册表中找到主要用户,对其进行身份验证并创建 LTPA 令牌。
您当然不想或不需要将凭据(例如密码)传递给 WebSphere; TAI 进程不需要实际密码 - 框架的本质是允许通过替代方式建立信任关系。
此外 - 也没有迫切需要推出您自己的 TAI class 和相关的专有 SSO 协议(令牌、加密等)。
WebSphere 7+ 附带开箱即用的 OAuth 和 SAML TAI(尽管需要配置来设置它们)。这为您提供了两个开放标准规范供您选择。您最终没有在 WebSphere 端编写任何代码。这些 SSO 协议被广泛采用且成熟 - 由整个行业的 Web 开发人员审查,如果实施得当,几乎没有或没有攻击媒介。这些方法也不需要 DNS 或域对齐 - 它们旨在跨域工作。
事实证明这是错误消息的简单情况。似乎是说 WebTrustAssociationFailedException class 没有找到,但事实并非如此。它实际上只是报告抛出了异常。 Websphere 团队有一个内部缺陷需要更正消息,并将在未来的版本中修复。现在可以安全地忽略它。