Apache / WSS4J证书验证

Question

证书(X509)验证执行的唯一方法似乎是:如果对服务器的请求包含已经在服务器的密钥存储库中的证书，则处理请求(与服务器的响应相同)。

请您建议一种通过CRL和根证书验证证书的方法吗？

那么使用spring安全性和cxf的<jaxws:inInterceptors>呢？还找不到教程

PROGRESS试图编写自己的拦截器：

public class MyInInterceptor extends AbstractPhaseInterceptor<Message> {
Logger logger = Logger.getLogger(MyInInterceptor.class);

public MyInInterceptor() {
    super(Phase.PRE_PROTOCOL);

    addAfter(WSS4JInInterceptor.class.getName());
}

private SOAPMessage getSOAPMessage(SoapMessage msg) {
    SAAJInInterceptor.INSTANCE.handleMessage(msg);
    return msg.getContent(SOAPMessage.class);
}

@Override
public void handleMessage(Message message) throws Fault {
    logger.info("custom handleMessage method");

    logger.info("getting a certificate");
    HashMap engine = (HashMap) message.get("wss4j.signature.result");
    X509Certificate certificate = (X509Certificate) engine.get("x509-certificate");

    logger.info("parsing certificate");

}

现在的问题是用任何可能的方式验证证书，比如纯java..

Answer 1

解决方案是开发一个自定义拦截器：

/** 
 * Constructor
*/ 
public SecurityInInterceptor() {
   super(Phase.PRE_PROTOCOL);
   getAfter().add(SAAJInInterceptor.class.getName());
}

解决方案的难点是this和this的答案。