在 PHP SOAP 服务器中验证 WS-security 密码摘要
Verify WS-security password digest in PHP SOAP SERVER
我需要在 PHP-Soap 网络服务上实施 WS-Security 密码摘要。我到处都在寻找如何去做,但我一无所获。通过反复试验,我发现 PHP Soap 服务器将调用服务 class 中实现的“安全”功能,其中将执行验证。
现在我的函数看起来像这样:
public function Security($UsernameToken)
{
$this->log($UsernameToken);
$loggHelper = [];
$loggHelper['nonce'] = unpack('H*', base64_decode($UsernameToken->Nonce))[1];
$loggHelper['created'] = pack('a*', $UsernameToken->Created);
$loggHelper['password'] = pack('a*', 'test');
$loggHelper['passhash1'] = base64_encode(pack('H*',sha1($loggHelper['nonce'].$UsernameToken->Created.$loggHelper['password'])));
$this->log($loggHelper);
if($UsernameToken->Password==$loggHelper['passhash1'])
return true;
else
{
return new SoapFault("401", "Prohibited");
}
}
问题是,我的摘要与测试客户端 (SoapUI) 提供的密码不同
日志输出如下所示:
$UsernameToken = {"Username":"test","Password":"HMxOK\/pg3mOq71N2F5Znb7xDdcw=","Nonce":"BgbT8vrQb\/afX7OC3KPb0Q==","Created":"2020-06-24T07:31:11.731Z"}
$loggerHelper = {"nonce":"0606d3f2fad06ff69f5fb382dca3dbd1","created":"2020-06-24T07:31:11.731Z","password":"test","passhash1":"gJGXpD3yYDmLY6qMhRtKYWr33IA="}
先说几点:
- 出于安全原因,您不应记录任何凭据 - 每个能够访问日志文件的人都可以访问凭据!
- SHA1 根本不是一种安全的加密算法 - 请参阅 https://crypto.stackexchange.com/questions/48289/how-secure-is-sha1-what-are-the-chances-of-a-real-exploit
我建议使用
用于加密,包含在PHP本身。
或者您使用在后台处理安全性的框架。作为一个例子(但我不确定)symfony 应该自动为你做这个 - 请在 https://symfony.com/doc/current/controller/soap_web_service.html
阅读更多
我需要在 PHP-Soap 网络服务上实施 WS-Security 密码摘要。我到处都在寻找如何去做,但我一无所获。通过反复试验,我发现 PHP Soap 服务器将调用服务 class 中实现的“安全”功能,其中将执行验证。 现在我的函数看起来像这样:
public function Security($UsernameToken)
{
$this->log($UsernameToken);
$loggHelper = [];
$loggHelper['nonce'] = unpack('H*', base64_decode($UsernameToken->Nonce))[1];
$loggHelper['created'] = pack('a*', $UsernameToken->Created);
$loggHelper['password'] = pack('a*', 'test');
$loggHelper['passhash1'] = base64_encode(pack('H*',sha1($loggHelper['nonce'].$UsernameToken->Created.$loggHelper['password'])));
$this->log($loggHelper);
if($UsernameToken->Password==$loggHelper['passhash1'])
return true;
else
{
return new SoapFault("401", "Prohibited");
}
}
问题是,我的摘要与测试客户端 (SoapUI) 提供的密码不同
日志输出如下所示:
$UsernameToken = {"Username":"test","Password":"HMxOK\/pg3mOq71N2F5Znb7xDdcw=","Nonce":"BgbT8vrQb\/afX7OC3KPb0Q==","Created":"2020-06-24T07:31:11.731Z"}
$loggerHelper = {"nonce":"0606d3f2fad06ff69f5fb382dca3dbd1","created":"2020-06-24T07:31:11.731Z","password":"test","passhash1":"gJGXpD3yYDmLY6qMhRtKYWr33IA="}
先说几点:
- 出于安全原因,您不应记录任何凭据 - 每个能够访问日志文件的人都可以访问凭据!
- SHA1 根本不是一种安全的加密算法 - 请参阅 https://crypto.stackexchange.com/questions/48289/how-secure-is-sha1-what-are-the-chances-of-a-real-exploit
我建议使用
用于加密,包含在PHP本身。
或者您使用在后台处理安全性的框架。作为一个例子(但我不确定)symfony 应该自动为你做这个 - 请在 https://symfony.com/doc/current/controller/soap_web_service.html
阅读更多