Domino 9 und frühere Versionen > ND8: Entwicklung
Webservice Provider / Authentifikation
dnotes:
Gibst Du einen Benutzernamen und Kennwort mit??
Darüber kann er sich doch authentifizieren.
m3:
Been there, done that :D
Du hast zwei Möglichkeiten
1) Der SOAP Client schickt einen gültigen LTPA Token im HTTP HEADER, nicht im SOAP header, mit. Damit wird der Request vom Domino http authentifiziert und dann an den SOAP code weitergeleitet
2) Du richtest im WebSite Dokument eine Regel ein, dass bei den SOAP URLs nicht Session, sondern Basic Authentication gilt. Dann muss der SOAP Client nur HTTP Basic Authentication machen und alles ist gut.
Mit "preemptive authentication" macht der SoapUI Client nichts anderes als (2), nur wartet er nicht auf den Challenge sondern schickt schon im vorauseilenden Gehorsam Username/Passwort. Wenn Du auf Basic Auth. umstellst, brauchst Du das "preemtive" nicht.
BTW: Der Domino Server kann NICHT SOAP Authentication. (das können wir nur im SOAP Client code gegen einen anderen Server)
Driri:
@dnotes
Klar. Wobei Ziel ja nicht Benutzername/Kennwort ist, sondern der LTPA-Token.
@Martin
Danke, ich gebe das mal an unseren Web-Spezi weiter. Mal schauen, ob wir da gemeinsam eine Lösung finden.
flaite:
Klingt logisch der Vorschlag von Martin.
Ich hab ja vor Jahren ein Projekt mit einem Java Jakarta HTTPClient gegen Domino Webservices gemacht. In HTTPClient gibts auch so eine preemptive flag wie in SOAP UI. Das gilt übrigens auch als unsicher. War aber damals eh intranet.
Zur Sicherheit würd ich echt über ssl nachdenken. Ansonsten geht ja alles inkl. Passwörter unverschlüsselt übers Netz.
In sehr verteilten JEE Topologien wird übrigens in SOAP Webservices nicht der Server mit der Web-Anwendung angesprochen sondern ein anderer.
Bei Webservice Projekten am besten von der ersten Minute an ein HTTP sniffer wie wireshark oder fiddler benutzen. Dann hättest Du das mit der zurückgelieferten Authentifizierungs-Maske bei session based auth direkt erkannt.
Driri:
Danke, ich bin in dem Umfeld noch ziemlich grün hinter den Ohren und für jede Hinweis dankbar.
SSL ist sowieso angedacht, allerdings noch nicht umgesetzt. Es handelt sich allerdings um eine Einbindung im Intranet, daher ist das evtl. nicht ganz so kritisch.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln