XML-RPC 身份验证（http 与 XmlRpcNotAuthorizedException）

Question

我找不到我的问题的确切答案（谷歌或这里），所以如果这是我错过的重复，我深表歉意：

我正在使用 Apache 的 XML-RPC 库（我有点遗憾）在 Java 中编写一个 XML-RPC 服务器，它需要符合给定的规范。通过身份验证，服务器会生成 org.apache.xmlrpc.common.XmlRpcNotAuthorizedException。这不是所需的行为。我想返回 HTTP 错误 401（未通过身份验证）和 403（禁止）。但是，Apache 不断抛出这些异常，我找不到解决方法。

例如发送正确的用户名/密码后收到的响应：

HTTP/1.1 200 OK
Content-Length:362
Content-Type:text/xml
Server:Jetty(7.x.y-SNAPSHOT)

<?xml version="1.0" encoding="UTF-8"?>
<methodResponse>
    ...correct response information here 
</methodResponse>

...用户名和密码错误：

HTTP/1.1 200 OK
Content-Length:252
Content-Type:text/xml
Server:Jetty(7.x.y-SNAPSHOT)

<?xml version="1.0" encoding="UTF-8"?>
<methodResponse>
   ...xmlrpc exception here 
<methodResponse>

我不想要“HTTP/1.1 200 OK”，我想要“HTTP/1.1 401 Unauthorized”

我正在考虑继承 Apache 的 ReflectiveXmlRpcHandler（或类似的东西）并尝试拦截异常，但我想知道是否有人找到了解决这个问题的更好方法。

有什么想法吗？

Answer 1

这似乎很难。如XML-RPC Specification中所述

Response format

Unless there's a lower-level error, always return 200 OK.

Bad Authentication Credentials 不是低级错误，它只是一个特定的用例。 但是您可以在客户端启用异常（注意安全问题）来处理这种特殊情况

Answer 2

我会发布代码，但它涉及的地方太多了，当我在这里看到它时，它已经是一篇文章了......

我做了什么：

• 创建 PropagatedHttpException 扩展 RuntimeException。它只有一个字段，code，即 HTTP 错误代码。
• 扩展XmlRpcServletServer:
  • 重写 writeError 以检查错误是否为PropagatedHttpException，如果是， 立即扔掉。
  • 覆盖执行(HttpServletRequest, HttpServletResponse) 来捕获 PropagatedHttpException 并将其作为正确的 HTTP 错误传递。
• 扩展XmlRpcServlet:
  • 设置一个自定义AuthenticationHandler，它会抛出PropagatedHttpException 特定的 HTTP 错误代码。
  • 覆盖newXmlRpcServer 以返回自定义XmlRpcServletServer.

当我们开始弄清楚这将如何工作时，我们已经有了一个自定义身份验证处理程序，但在您的情况下，可能不需要它，并且可以调整 writeError 代码以检查 XmlRpcNotAuthorizedException。其实直到今天我才知道这个异常存在......

您现在遇到的问题是，从客户端，Apache XML-RPC 不检查它返回的错误代码，然后尝试解析 XML 响应而不管结果如何。

Grooveek 的回答让我们非常沮丧，因为我们希望将身份验证与 JRE 的内置身份验证挂钩，这样 NTLM 之类的东西就可以工作，但如果它要返回 HTTP 200，那么它就不可能工作在不违反规范的情况下。