WSS4J SOAPトラストストアを使用しない署名検証

Question

署名付きSOAPメッセージを検証し、証明書を抽出し、証明書をLDAPディレクトリに対して認証する必要があります。これにより、トラストストアは不要になります。私はしばらくWSS4Jを使用していますが、常にローカルのトラストストアを使用しています。公式のドキュメンテーションを見て回り、グーグルと同様のシナリオを参照することはできませんでした。その場合、WSS4Jを使い続けることが可能かどうか疑問に思っていました。

Answer 1

はい、この使用例ではWSS4Jを使用できます。 WSS4Jが署名証明書の信頼を検証するために、デフォルトでSignatureTrustValidatorを使用しています。

https://github.com/apache/wss4j/blob/trunk/ws-security-dom/src/main/java/org/apache/wss4j/dom/validate/SignatureTrustValidator.java

あなたが代わりを経由して、そこに独自の実装をプラグインすることができます

https://github.com/apache/wss4j/blob/cc5cb1cf7d0c6fcb1f1695ba63863231d4f8e613/ws-security-common/src/main/java/org/apache/wss4j/common/ConfigurationConstants.java#L863

あなたはWSS4JとCXFを使用している場合は、シグネチャのValidator実装を指すように設定できるカスタム構成定数があります。