即使onBehalfOf中有user+password令牌，CXF STSClient也会请求user+password

CXF STSClient是Apache CXF框架中的一个组件，用于与Security Token Service（STS）进行交互，以获取安全令牌。在使用CXF STSClient时，即使在onBehalfOf中提供了用户和密码令牌，它仍然会发送请求以获取安全令牌。

CXF STSClient的主要功能是通过与STS进行通信，获取用于身份验证和授权的安全令牌。它可以使用不同的身份验证机制，包括用户名和密码、证书等。

在使用CXF STSClient时，即使提供了用户和密码令牌，它仍然会发送请求以获取安全令牌的原因可能是为了确保令牌的有效性和最新性。STS可能会对提供的用户和密码进行验证，并生成一个新的安全令牌返回给客户端。

CXF STSClient的请求中可能包含以下信息：

• onBehalfOf：表示请求的令牌是代表另一个用户请求的。这可以用于委托身份验证和授权。
• 用户名和密码令牌：用于身份验证的凭据，可以是用户提供的用户名和密码。

CXF STSClient的请求和响应是基于SOAP协议的，使用XML格式进行交互。它可以与各种STS实现进行集成，以获取不同类型的安全令牌，如SAML、JWT等。

在腾讯云的产品中，与STS相关的服务是腾讯云访问管理（CAM）。CAM提供了身份验证和授权的功能，可以生成临时安全令牌，用于访问腾讯云资源。您可以通过CAM的API接口或控制台进行配置和管理。

腾讯云CAM产品介绍链接地址：https://cloud.tencent.com/product/cam