Collegamento a WS-Security protected servizio Web con PHP
https://stackoverflow.com/questions/953639
-
11-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto cercando di connettersi a un servizio Web che è protetto da password e l'URL è https. Io non riesco a capire come autenticare prima che lo script fa una richiesta. Sembra che fa una richiesta, non appena mi definisco il servizio. Per esempio, se ho messo in:
$client = new SoapClient("https://example.com/WSDL/nameofservice",
array('trace' => 1,)
);
e poi andare al sito sul browser, ottengo:
Fatal error: Uncaught SoapFault exception:
[WSDL] SOAP-ERROR: Parsing WSDL: Couldn't load from
'https://example.com/WSDL/nameofservice' in /path/to/my/script/myscript.php:2
Stack trace: #0 /path/to/my/script/myscript.php(2):
SoapClient->SoapClient('https://example...', Array) #1 {main} thrown in
/path/to/my/script/myscript.php on line 2
Se provo definendo il servizio come un server di sapone, come:
$server= new SoapServer("https://example.com/WSDL/nameofservice");
ottengo:
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
<SOAP-ENV:Body>
<SOAP-ENV:Fault>
<faultcode>WSDL</faultcode>
<faultstring>
SOAP-ERROR: Parsing WSDL:
Couldn't load from 'https://example.com/WSDL/nameofservice'
</faultstring>
</SOAP-ENV:Fault>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
Non ho provato l'invio di una busta richiesta grezzo ancora vedere ciò che i rendimenti dei server, ma che può essere una soluzione. Ma speravo che qualcuno potrebbe dirmi come posso configurarlo utilizzando le classi incorporate in PHP. Ho provato ad aggiungere "username" e "password" per l'array, ma che non era buona. Il problema è che non posso nemmeno dire se sto raggiungendo il sito remoto a tutti, figuriamoci se si rifiuta la richiesta.
Soluzione
Il problema sembra essere che il documento WSDL è in qualche modo protetta (autenticazione di base - non thinkg che digeriscono l'autenticazione è supportata con SoapClient, quindi devi essere fuori di fortuna in questo caso) e che il SoapClient quindi non può leggere e analizzare la descrizione del servizio.
Prima di tutto si dovrebbe cercare di aprire la posizione WSDL nel browser per verificare se si è presentato un dialogo di autenticazione. Se c'è una finestra di autenticazione è necessario assicurarsi che il SoapClient utilizza le credenziali di accesso necessarie sul recupero del documento WSDL. Il problema è che SoapClient invierà solo le credenziali fornite con le opzioni login e password (così come la possibilità local_cert quando si utilizza l'autenticazione dei certificati) per la creazione del client quando si richiama il servizio, non quando va a prendere il WSDL (vedi qui ). Ci sono due metodi per superare questo problema:
-
Aggiungere le credenziali di accesso all'URL WSDL sulla chiamata al costruttore
SoapClient$client = new SoapClient( 'https://' . urlencode($login) . ':' . urlencode($password) . '@example.com/WSDL/nameofservice', array( 'login' => $login, 'password' => $password ) );Questa dovrebbe essere la soluzione più semplice - ma a PHP Bug # 27777 è scritto che questo non funzionerà neanche (non ho provato).
-
Scarica il WSDL manualmente utilizzando il flusso involucro HTTP o
ext/curlo manualmente tramite il browser o tramitewgetfor esempio, memorizzarlo su disco e un'istanza dellaSoapClientcon un riferimento al WSDL locale.Questa soluzione può essere problematico se i cambiamenti documento WSDL come si deve rilevare la modifica e memorizzare la nuova versione sul disco.
Se nessuna finestra di autenticazione viene mostrato e se potete leggere il WSDL nel browser, si dovrebbe fornire qualche dettaglio in più per verificare la presenza di altre possibili errori / problemi.
Questo problema è definitivamente non correlato al servizio stesso come SoapClient induttanze già dalla lettura del documento di servizio descripion prima di rilasciare una chiamata al servizio stesso.
Modifica
Avere il file WSDL localmente è un primo passo - questo permetterà al SoapClient per sapere come comunicare con il servizio. Non importa se il WSDL viene servita direttamente dalla posizione di servizio, da un altro server o viene letto da un file locale -. URL del servizio sono codificati all'interno del WSDL così SoapClient sa sempre dove cercare l'endpoint del servizio
Il secondo problema ora è che SoapClient non ha il supporto per il href="http://en.wikipedia.org/wiki/WS-Security" rel="noreferrer"> WS-Security specifiche SoapClient per gestire le intestazioni specifiche. Un punto di estensione per aggiungere il comportamento richiesto sarebbe SoapClient::__doRequest() che pre-processi il carico utile XML prima di inviarlo al l'endpoint del servizio. Ma penso che l'implementazione della soluzione WS-Security te richiederà una discreta conoscenza delle specifiche specifiche WS-Security. Forse intestazioni WS-Security possono essere creati e confezionati nella richiesta XML utilizzando SoapClient::__setSoapHeaders() e SoapHeader s ma dubito che questo lavoro , lasciando l'estensione SoapClient personalizzato come la possibilità solitario.
Una semplice estensione SoapClient sarebbe
class My_SoapClient extends SoapClient
{
protected function __doRequest($request, $location, $action, $version)
{
/*
* $request is a XML string representation of the SOAP request
* that can e.g. be loaded into a DomDocument to make it modifiable.
*/
$domRequest = new DOMDocument();
$domRequest->loadXML($request);
// modify XML using the DOM API, e.g. get the <s:Header>-tag
// and add your custom headers
$xp = new DOMXPath($domRequest);
$xp->registerNamespace('s', 'http://www.w3.org/2003/05/soap-envelope');
// fails if no <s:Header> is found - error checking needed
$header = $xp->query('/s:Envelope/s:Header')->item(0);
// now add your custom header
$usernameToken = $domRequest->createElementNS('http://schemas.xmlsoap.org/ws/2002/07/secext', 'wsse:UsernameToken');
$username = $domRequest->createElementNS('http://schemas.xmlsoap.org/ws/2002/07/secext', 'wsse:Username', 'userid');
$password = $domRequest->createElementNS('http://schemas.xmlsoap.org/ws/2002/07/secext', 'wsse:Password', 'password');
$usernameToken->appendChild($username);
$usernameToken->appendChild($password);
$header->appendChild($usernameToken);
$request = $domRequest->saveXML();
return parent::__doRequest($request, $location, $action, $version);
}
}
Per un'autenticazione di base WS-Security si dovrà aggiungere il seguente al SOAP-intestazione:
<wsse:UsernameToken>
<wsse:Username>userid</wsse:Username>
<wsse:Password>password</wsse:Password>
</wsse:UsernameToken>
Ma, come ho detto sopra: Penso che molto di più la conoscenza del WS-Securiè necessario specifiche Ty e la data architettura di servizio per ottenere questo lavoro.
Se avete bisogno di una soluzione di livello aziendale per l'intera WS- * campo delle specifiche e se è possibile installare moduli PHP si dovrebbe avere uno sguardo al WSO2 Web Services Framework for PHP (WSO2 WSF / PHP)
Altri suggerimenti
È sufficiente estendere il SoapHeader per creare un'autenticazione compilant wsse:
class WsseAuthHeader extends SoapHeader {
private $wss_ns = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd';
function __construct($user, $pass, $ns = null) {
if ($ns) {
$this->wss_ns = $ns;
}
$auth = new stdClass();
$auth->Username = new SoapVar($user, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wss_ns);
$auth->Password = new SoapVar($pass, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wss_ns);
$username_token = new stdClass();
$username_token->UsernameToken = new SoapVar($auth, SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'UsernameToken', $this->wss_ns);
$security_sv = new SoapVar(
new SoapVar($username_token, SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'UsernameToken', $this->wss_ns),
SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'Security', $this->wss_ns);
parent::__construct($this->wss_ns, 'Security', $security_sv, true);
}
}
$wsse_header = new WsseAuthHeader($username, $password);
$x = new SoapClient('{...}', array("trace" => 1, "exception" => 0));
$x->__setSoapHeaders(array($wsse_header));
Se avete bisogno di usare WS-Security con un nonce e un timestamp, Peter ha pubblicato una versione di aggiornamento su http://php.net/manual/en/soapclient.soapclient.php#114976 di cui ha scritto che ha fatto il lavoro per lui:
class WsseAuthHeader extends SoapHeader
{
private $wss_ns = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd';
private $wsu_ns = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd';
function __construct($user, $pass)
{
$created = gmdate('Y-m-d\TH:i:s\Z');
$nonce = mt_rand();
$passdigest = base64_encode(pack('H*', sha1(pack('H*', $nonce) . pack('a*', $created) . pack('a*', $pass))));
$auth = new stdClass();
$auth->Username = new SoapVar($user, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wss_ns);
$auth->Password = new SoapVar($pass, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wss_ns);
$auth->Nonce = new SoapVar($passdigest, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wss_ns);
$auth->Created = new SoapVar($created, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wsu_ns);
$username_token = new stdClass();
$username_token->UsernameToken = new SoapVar($auth, SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'UsernameToken', $this->wss_ns);
$security_sv = new SoapVar(
new SoapVar($username_token, SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'UsernameToken', $this->wss_ns),
SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'Security', $this->wss_ns);
parent::__construct($this->wss_ns, 'Security', $security_sv, true);
}
}
confrontare anche con le indicazioni fornite nella risposta https://stackoverflow.com/a/18575154/367456
Per una password digerire sicurezza, è possibile utilizzare il seguente:
/**
* This function implements a WS-Security digest authentification for PHP.
*
* @access private
* @param string $user
* @param string $password
* @return SoapHeader
*/
function soapClientWSSecurityHeader($user, $password)
{
// Creating date using yyyy-mm-ddThh:mm:ssZ format
$tm_created = gmdate('Y-m-d\TH:i:s\Z');
$tm_expires = gmdate('Y-m-d\TH:i:s\Z', gmdate('U') + 180); //only necessary if using the timestamp element
// Generating and encoding a random number
$simple_nonce = mt_rand();
$encoded_nonce = base64_encode($simple_nonce);
// Compiling WSS string
$passdigest = base64_encode(sha1($simple_nonce . $tm_created . $password, true));
// Initializing namespaces
$ns_wsse = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd';
$ns_wsu = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd';
$password_type = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest';
$encoding_type = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary';
// Creating WSS identification header using SimpleXML
$root = new SimpleXMLElement('<root/>');
$security = $root->addChild('wsse:Security', null, $ns_wsse);
//the timestamp element is not required by all servers
$timestamp = $security->addChild('wsu:Timestamp', null, $ns_wsu);
$timestamp->addAttribute('wsu:Id', 'Timestamp-28');
$timestamp->addChild('wsu:Created', $tm_created, $ns_wsu);
$timestamp->addChild('wsu:Expires', $tm_expires, $ns_wsu);
$usernameToken = $security->addChild('wsse:UsernameToken', null, $ns_wsse);
$usernameToken->addChild('wsse:Username', $user, $ns_wsse);
$usernameToken->addChild('wsse:Password', $passdigest, $ns_wsse)->addAttribute('Type', $password_type);
$usernameToken->addChild('wsse:Nonce', $encoded_nonce, $ns_wsse)->addAttribute('EncodingType', $encoding_type);
$usernameToken->addChild('wsu:Created', $tm_created, $ns_wsu);
// Recovering XML value from that object
$root->registerXPathNamespace('wsse', $ns_wsse);
$full = $root->xpath('/root/wsse:Security');
$auth = $full[0]->asXML();
return new SoapHeader($ns_wsse, 'Security', new SoapVar($auth, XSD_ANYXML), true);
}
Per usarlo con PHP SoapClient, utilizzare in questo modo:
$client = new SoapClient('http://endpoint');
$client->__setSoapHeaders(soapClientWSSecurityHeader('myUser', 'myPassword'));
// $client->myService(array('param' => 'value', ...);
Non ho la soluzione più semplice di estendere la libreria soapclient esistente.
Fase 1: Creare due classi di creare una struttura per le intestazioni WSSE
class clsWSSEAuth {
private $Username;
private $Password;
function __construct($username, $password) {
$this->Username=$username;
$this->Password=$password;
}
}
class clsWSSEToken {
private $UsernameToken;
function __construct ($innerVal){
$this->UsernameToken = $innerVal;
}
}
Fase 2: Creazione delle variabili Soap nome utente e password
$username = 1111;
$password = 1111;
//Check with your provider which security name-space they are using.
$strWSSENS = "http://schemas.xmlsoap.org/ws/2002/07/secext";
$objSoapVarUser = new SoapVar($username, XSD_STRING, NULL, $strWSSENS, NULL, $strWSSENS);
$objSoapVarPass = new SoapVar($password, XSD_STRING, NULL, $strWSSENS, NULL, $strWSSENS);
Fase 3: Crea oggetto per Auth classe e passare il sapone var
$objWSSEAuth = new clsWSSEAuth($objSoapVarUser, $objSoapVarPass);
Fase 4: Creare SoapVar fuori oggetto della classe Auth
$objSoapVarWSSEAuth = new SoapVar($objWSSEAuth, SOAP_ENC_OBJECT, NULL, $strWSSENS, 'UsernameToken', $strWSSENS);
Fase 5: Crea un oggetto per Token Classe
$objWSSEToken = new clsWSSEToken($objSoapVarWSSEAuth);
Step6: Crea SoapVar fuori oggetto della classe Token
$objSoapVarWSSEToken = new SoapVar($objWSSEToken, SOAP_ENC_OBJECT, NULL, $strWSSENS, 'UsernameToken', $strWSSENS);
Step7: Crea SoapVar per il nodo 'sicurezza'
$objSoapVarHeaderVal=new SoapVar($objSoapVarWSSEToken, SOAP_ENC_OBJECT, NULL, $strWSSENS, 'Security', $strWSSENS);
Step8: Crea un oggetto di intestazione di soapvar sicurezza
$objSoapVarWSSEHeader = new SoapHeader($strWSSENS, 'Security', $objSoapVarHeaderVal,true, 'http://abce.com');
//Third parameter here makes 'mustUnderstand=1
//Forth parameter generates 'actor="http://abce.com"'
Step9: Crea un oggetto di sapone Client
$objClient = new SoapClient($WSDL, $arrOptions);
Step10: Impostare intestazioni per oggetto soapclient
$objClient->__setSoapHeaders(array($objSoapVarWSSEHeader));
Passo 11: chiamata finale al metodo
$objResponse = $objClient->__soapCall($strMethod, $requestPayloadString);
Ho adottato eccellente soluzione di Alain Tiemblo, ma io uso la parola d'accesso, piuttosto che un digest.
/**
* This function implements a WS-Security authentication for PHP.
*
* @access private
* @param string $user
* @param string $password
* @return SoapHeader
*/
function soapClientWSSecurityHeader($user, $password)
{
// Creating date using yyyy-mm-ddThh:mm:ssZ format
$tm_created = gmdate('Y-m-d\TH:i:s\Z');
$tm_expires = gmdate('Y-m-d\TH:i:s\Z', gmdate('U') + 180); //only necessary if using the timestamp element
// Generating and encoding a random number
$simple_nonce = mt_rand();
$encoded_nonce = base64_encode($simple_nonce);
// Compiling WSS string
$passdigest = base64_encode(sha1($simple_nonce . $tm_created . $password, true));
// Initializing namespaces
$ns_wsse = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd';
$ns_wsu = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd';
$password_type = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText';
$encoding_type = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary';
// Creating WSS identification header using SimpleXML
$root = new SimpleXMLElement('<root/>');
$security = $root->addChild('wsse:Security', null, $ns_wsse);
//the timestamp element is not required by all servers
$timestamp = $security->addChild('wsu:Timestamp', null, $ns_wsu);
$timestamp->addAttribute('wsu:Id', 'Timestamp-28');
$timestamp->addChild('wsu:Created', $tm_created, $ns_wsu);
$timestamp->addChild('wsu:Expires', $tm_expires, $ns_wsu);
$usernameToken = $security->addChild('wsse:UsernameToken', null, $ns_wsse);
$usernameToken->addChild('wsse:Username', $user, $ns_wsse);
$usernameToken->addChild('wsse:Password', $password, $ns_wsse)->addAttribute('Type', $password_type);
$usernameToken->addChild('wsse:Nonce', $encoded_nonce, $ns_wsse)->addAttribute('EncodingType', $encoding_type);
$usernameToken->addChild('wsu:Created', $tm_created, $ns_wsu);
// Recovering XML value from that object
$root->registerXPathNamespace('wsse', $ns_wsse);
$full = $root->xpath('/root/wsse:Security');
$auth = $full[0]->asXML();
return new SoapHeader($ns_wsse, 'Security', new SoapVar($auth, XSD_ANYXML), true);
}
Per chiamare, usare
$client = new SoapClient('YOUR ENDPOINT');
$userid = "userid";
$password = "password";
$client->__setSoapHeaders(soapClientWSSecurityHeader($userid,$password));
$client = new SoapClient("some.wsdl", array('login' => "some_name",
'password' => "some_password"));
WS Fissare con digerire password. Questo lavoro codice per me:
class WsseAuthHeader extends SoapHeader {
private $wss_ns = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd';
private $wsu_ns = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd';
private $type_password_digest= 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest';
private $type_password_text= 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText';
private $encoding_type_base64 = 'http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary';
private function authText($user, $pass) {
$auth = new stdClass();
$auth->Username = new SoapVar($user, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wss_ns);
$auth->Password = new SoapVar('<ns2:Password Type="'.$this->type_password_text.'">' . $pass . '</ns2:Password>', XSD_ANYXML );
return $auth;
}
private function authDigest($user, $pass) {
$created = gmdate('Y-m-d\TH:i:s\Z');
$nonce = mt_rand();
$enpass = base64_encode(pack('H*', sha1(pack('H*', $nonce) . pack('a*', $created) . pack('a*', $pass))));
$auth = new stdClass();
$auth->Username = new SoapVar($user, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wss_ns);
$auth->Password = new SoapVar('<ns2:Password Type="'.$this->type_password_digest.'">' . $enpass . '</ns2:Password>', XSD_ANYXML );
$auth->Nonce = new SoapVar('<ns2:Nonce EncodingType="' . $this->encoding_type_base64 . '">' . base64_encode(pack('H*', $nonce)) . '</ns2:Nonce>', XSD_ANYXML);
$auth->Created = new SoapVar($created, XSD_STRING, NULL, $this->wss_ns, NULL, $this->wsu_ns);
return $auth;
}
function __construct($user, $pass, $useDigest=true) {
if ($useDigest) {
$auth = $this->authDigest($user, $pass);
}else{
$auth = $this->authText($user, $pass);
}
$username_token = new stdClass();
$username_token->UsernameToken = new SoapVar($auth, SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'UsernameToken', $this->wss_ns);
$security_sv = new SoapVar(
new SoapVar($username_token, SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'UsernameToken', $this->wss_ns),
SOAP_ENC_OBJECT, NULL, $this->wss_ns, 'Security', $this->wss_ns);
parent::__construct($this->wss_ns, 'Security', $security_sv, true);
}
}
Usa:
$client->__setSoapHeaders([new WsseAuthHeader($login, $password)]);
