WSE2.0的BUG？！

在帮客户写JAVA客户端访问.NET实现的Web service的示例代码发现了一个有趣的问题。为有保障安全性，使用了wse2.0 sp2的ws-security，自己实现了UsernameTokenManager的AuthenticateToken方法。当从本机的浏览器访问该服务时，返回HTTP 500错误。写了一个winform客户端的测试代码，当使用不正确的用户名与密码时，服务抛出错误，使用正确的用户名与密码时，服务返回正确的结果，一切看起来都很正常。但当使用java的客户端访问时，无论使用什么样的客户名与密码，服务均能正确返回结果。不知道是否WSE2.0的bug还是设置的问题，让jeet很是郁闷。
示例代码如下：
1、WEB service代码：

using System;
using System.Collections;
using System.ComponentModel;
using System.Data;
using System.Diagnostics;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
using Microsoft.Web.Services2;
using Microsoft.Web.Services2.Security;
using Microsoft.Web.Services2.Security.Tokens;

namespace WebTest
{

    /// SumService 的摘要说明。
    /// </summary>
    public class SumService : System.Web.Services.WebService
{
        public SumService()
{
            //CODEGEN: 该调用是 ASP.NET Web 服务设计器所必需的
            InitializeComponent();
        }


        
        //Web 服务设计器所必需的
        private IContainer components = null;
                

        /// 设计器支持所需的方法 - 不要使用代码编辑器修改
        /// 此方法的内容。
        /// </summary>
        private void InitializeComponent()
{
        }


        /// 清理所有正在使用的资源。
        /// </summary>
        protected override void Dispose( bool disposing )
{
            if(disposing && components != null)
{
                components.Dispose();
            }
            base.Dispose(disposing);        
        }
        
        #endregion

        // WEB 服务示例
        // HelloWorld() 示例服务返回字符串 Hello World
        // 若要生成，请取消注释下列行，然后保存并生成项目
        // 若要测试此 Web 服务，请按 F5 键
//
        [WebMethod]
        public string HelloWorld()
{
            SoapContext requestContext=RequestSoapContext.Current;
            if(requestContext==null)
                throw new ApplicationException("Only soap request are permitted.");
            return "Hello World.";
        }
        [SoapRpcMethod(Action="http://www.gds-china.com/Rpc",RequestNamespace="http://www.gds-china.com/SU",ResponseNamespace="http://www.gds-china.com/SU")]
        [WebMethod]
        public int IntAdd(int a,int b)
{
            SoapContext requestContext=RequestSoapContext.Current;
            
            if(requestContext==null)
                throw new ApplicationException("Only soap request are permitted.");
            

            return a+b;
        }

        
    }
    }

2、实现UsernameTokenManager

using System;
using Microsoft.Web.Services2;
using Microsoft.Web.Services2.Security;
using Microsoft.Web.Services2.Security.Tokens;
using System.Security;
using System.Security.Permissions;

namespace WebTest
{

    /// CustomUsernameTokenManager 的摘要说明。
    /// </summary>
    [SecurityPermission(SecurityAction.Demand,
         Flags= SecurityPermissionFlag.UnmanagedCode)]

    public class CustomUsernameTokenManager:UsernameTokenManager
{
        public CustomUsernameTokenManager()
{
            //
            // TODO: 在此处添加构造函数逻辑
            //
        }

        protected override string AuthenticateToken(UsernameToken token)
{
            if(token==null)
                throw new ArgumentNullException();
            if(token.Username=="username")
                return "password";
            else
                return "love";
            
//                byte[] encodedUsername=System.Text.Encoding.UTF8.GetBytes(token.Username);
//                if(System.Text.Encoding.UTF8.GetString(encodedUsername)=="username")
//                    return "password";
//            else
//                    return "love";

        }

    }
}

3、Web service的web.config配置

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <configSections>
    <section name="microsoft.web.services2" type="Microsoft.Web.Services2.Configuration.WebServicesConfiguration, Microsoft.Web.Services2, Version=2.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
  </configSections>
  <system.web>
    <webServices>
      <protocols>
        <remove name="HttpGet" />
        <remove name="HttpPost" />
      </protocols>
      <soapExtensionTypes>
        <add type="Microsoft.Web.Services2.WebServicesExtension, Microsoft.Web.Services2, Version=2.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" priority="1" group="0" />
      </soapExtensionTypes>
    </webServices>
    <!--  动态调试编译
          设置 compilation debug="true" 以启用 ASPX 调试。否则，将此值设置为
          false 将提高此应用程序的运行时性能。
          设置 compilation debug="true" 以将调试符号(.pdb 信息)
          插入到编译页中。因为这将创建执行起来
          较慢的大文件，所以应该只在调试时将此值设置为 true，而在所有其他时候都设置为
          false。有关更多信息，请参考有关
          调试 ASP.NET 文件的文档。
    -->
    <compilation defaultLanguage="c#" debug="true" />
    <!--  自定义错误信息
          设置 customErrors mode="On" 或 "RemoteOnly" 以启用自定义错误信息，或设置为 "Off" 以禁用自定义错误信息。 
          为每个要处理的错误添加 <error> 标记。

          "On" 始终显示自定义(友好的)信息。
          "Off" 始终显示详细的 ASP.NET 错误信息。
          "RemoteOnly" 只对不在本地 Web 服务器上运行的
           用户显示自定义(友好的)信息。出于安全目的，建议使用此设置，以便 
           不向远程客户端显示应用程序的详细信息。
    -->
    <customErrors mode="RemoteOnly" />
    <identity impersonate="true" />
    <!--  身份验证 
          此节设置应用程序的身份验证策略。可能的模式是 "Windows"、 
          "Forms"、 "Passport" 和 "None"

          "None" 不执行身份验证。 
          "Windows" IIS 根据应用程序的设置执行身份验证 
            (基本、简要或集成 Windows)。在 IIS 中必须禁用匿名访问。
          "Forms" 您为用户提供一个输入凭据的自定义窗体(Web 页)，然后 
           在您的应用程序中验证他们的身份。用户凭据标记存储在 Cookie 中。
          "Passport" 身份验证是通过 Microsoft 的集中身份验证服务执行的，
           它为成员站点提供单独登录和核心配置文件服务。
    -->
    <authentication mode="Windows" />
    <!--  授权 
           此节设置应用程序的授权策略。可以允许或拒绝不同的用户或角色访问
          应用程序资源。通配符: "*" 表示任何人，"?" 表示匿名
          (未经身份验证的)用户。
    -->
    <authorization>
      <allow users="*" />
      <!-- 允许所有用户 -->
      <!--  <allow     users="[逗号分隔的用户列表]"
                             roles="[逗号分隔的角色列表]"/>
                  <deny      users="[逗号分隔的用户列表]"
                             roles="[逗号分隔的角色列表]"/>
            -->
    </authorization>
    <!--  应用程序级别跟踪记录
          应用程序级别跟踪为应用程序中的每一页启用跟踪日志输出。
          设置 trace enabled="true" 可以启用应用程序跟踪记录。如果 pageOutput="true"，则
          在每一页的底部显示跟踪信息。否则，可以通过浏览 Web 应用程序
           根目录中的 "trace.axd" 页来查看
          应用程序跟踪日志。
    -->
    <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" />
    <!--  会话状态设置
          默认情况下，ASP.NET 使用 Cookie 来标识哪些请求属于特定的会话。
          如果 Cookie 不可用，则可以通过将会话标识符添加到 URL 来跟踪会话。
         若要禁用 Cookie，请设置 sessionState cookieless="true"。
    -->
    <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20" />
    <!--  全球化
          此节设置应用程序的全球化设置。
    -->
    <globalization requestEncoding="utf-8" responseEncoding="utf-8" />
  </system.web>
  <microsoft.web.services2>
    <diagnostics>
      <trace enabled="true" input="InputTrace.webinfo" output="OutputTrace.webinfo" />
      <detailedErrors enabled="false" />
    </diagnostics>
    <security>
        <securityTokenManager type="WebTest.CustomUsernameTokenManager,WebTest" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" qname="wsse:UsernameToken" />
    </security>
  </microsoft.web.services2>
</configuration>

4、试验的.net客户端代码

using System;
using System.Drawing;
using System.Collections;
using System.ComponentModel;
using System.Windows.Forms;
using System.Data;
using Microsoft.Web.Services2;
using Microsoft.Web.Services2.Security;
using Microsoft.Web.Services2.Security.Tokens;
using GDS.Ldap;
using System.Text;

namespace WSEClientTest
{

    /// Form1 的摘要说明。
    /// </summary>
    public class Form1 : System.Windows.Forms.Form
{
        private System.Windows.Forms.Button button1;
        

        /// 必需的设计器变量。
        /// </summary>
        private System.ComponentModel.Container components = null;

        public Form1()
{
            //
            // Windows 窗体设计器支持所必需的
            //
            InitializeComponent();

            //
            // TODO: 在 InitializeComponent 调用后添加任何构造函数代码
            //
        }


        /// 清理所有正在使用的资源。
        /// </summary>
        protected override void Dispose( bool disposing )
{
            if( disposing )
{
                if (components != null) 
{
                    components.Dispose();
                }
            }
            base.Dispose( disposing );
        }



        /// 设计器支持所需的方法 - 不要使用代码编辑器修改
        /// 此方法的内容。
        /// </summary>
        private void InitializeComponent()
{
            this.button1 = new System.Windows.Forms.Button();
            
            this.SuspendLayout();
            // 
            // button1
            // 
            this.button1.Location = new System.Drawing.Point(32, 32);
            this.button1.Name = "button1";
            this.button1.TabIndex = 0;
            this.button1.Text = "button1";
            this.button1.Click += new System.EventHandler(this.button1_Click);
        
            // 
            // Form1
            // 
            this.AutoScaleBaseSize = new System.Drawing.Size(6, 14);
            this.ClientSize = new System.Drawing.Size(456, 325);            
            this.Controls.Add(this.button1);
            this.Name = "Form1";
            this.Text = "Form1";
            this.ResumeLayout(false);

        }
        #endregion


        /// 应用程序的主入口点。
        /// </summary>
        [STAThread]
        static void Main() 
{
            Application.Run(new Form1());
        }

        private void button1_Click(object sender, System.EventArgs e)
{
            UsernameToken token=new UsernameToken("username","password1",PasswordOption.SendPlainText);
            try
{
                localhost.SumServiceWse serviceProxy=new localhost.SumServiceWse();
                SoapContext requestContext=serviceProxy.RequestSoapContext;
                requestContext.Security.Timestamp.TtlInSeconds=60;
                requestContext.Security.Tokens.Add(token);
                
                requestContext.Security.Elements.Add(new MessageSignature(token));
                
                int sum=serviceProxy.IntAdd(3,5);
                MessageBox.Show(sum.ToString());

            }
            catch (System.Web.Services.Protocols.SoapException se) 
{
                MessageBox.Show(se.ToString());
            }
            catch (Exception ex) 
{
                MessageBox.Show(ex.ToString());
                return;
            }
        
        }

    
        }
    }

5、JAVA的客户端代码，使用axis-wsse（可从http://sourceforge.net/projects/axis-wsse/得到）

/*
 * Created on 2005-2-26
 *
 * TODO To change the template for this generated file go to
 * Window - Preferences - Java - Code Style - Code Templates
 */
package WSEClient;

import net.vitale.filippo.axis.handlers.*;
import org.apache.axis.client.*;
import javax.xml.namespace.*;

/**
 * @author Jeet
 *
 * TODO To change the template for this generated type comment go to
 * Window - Preferences - Java - Code Style - Code Templates
 */
public class TestService
{

    static String usernameS = null; 
    static String passwordS = null; 

    public static void main(String[] args)
    {
        try { 
            Integer i = new Integer(5); 
            Integer j = new Integer(2); 
            String endpoint="http://localhost/WebTest/SumService.asmx"; 
            Service service = new Service(); 
            Call call = (Call)service.createCall(); 
            call.setTargetEndpointAddress(new java.net.URL(endpoint)); 
            call.setOperationName(new QName("http://www.gds-china.com/SU","IntAdd")); 
            call.addParameter("a",org.apache.axis.encoding.XMLType.XSD_DATE,javax.xml.rpc.ParameterMode.IN); 
            call.addParameter("b",org.apache.axis.encoding.XMLType.XSD_DATE,javax.xml.rpc.ParameterMode.IN); 
            call.setReturnType(org.apache.axis.encoding.XMLType.XSD_INT); 
//            call.setReturnType(org.apache.axis.encoding.XMLType.XSD_STRING);
            call.setUseSOAPAction(true); 
            call.setSOAPActionURI("http://www.gds-china.com/Rpc"); 
            //add a user token 
            usernameS="1234";
            passwordS = "password"; 
            call.setUsername(usernameS); 
            call.setPassword(passwordS); 
    
            call.setProperty(WsseClientHandler.PASSWORD_OPTION, WsseClientHandler.PASSWORD_DIGEST_WITH_NONCE); 
            call.setClientHandlers(new WsseClientHandler(), null); 
            Integer k = (Integer)call.invoke(new Object[]{i,j}); 
            System.out.println( "result is " + k.toString() + "."); 
//            Vector inputs = new Vector();
//            String s=(String)call.invoke(inputs.toArray());
//            System.out.println("result is "+s+ ".");
                  
           } 
           catch (org.apache.axis.AxisFault e) 
           { 
            if (e.getFaultCode().toString() .equals("{http://schemas.xmlsoap.org/ws/2002/07/secext}FailedAuthentication")) 
             System.err.println("The usernameToken and password aren't right! "); 
            else { 
                   System.err.println(e.getFaultCode().toString()); 
            } 
           } 
           catch(Exception e) 
           { 
            System.err.println(e.toString()) ; 
           } 
          } 
      }