AXIS-》WS安全-》1

最新推荐文章于 2022-10-07 16:15:47 发布
最新推荐文章于 2022-10-07 16:15:47 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Web Service 文章标签: soap web服务 加密 解密 null servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/autoair/article/details/563985
版权
Handler的基本概念

J2EE Web 服务中的Handler技术特点非常像Servlet技术中的Filter。我们知道,在Servlet中,当一个HTTP到达服务端时,往往要经过多个Filter对请求进行过滤,然后才到达提供服务的Servlet,这些Filter的功能往往是对请求进行统一编码,对用户进行认证,把用户的访问写入系统日志等。相应的,Web服务中的Handler通常也提供一下的功能: 

对客户端进行认证、授权; 
把用户的访问写入系统日志; 
对请求的SOAP消息进行加密,解密; 
为Web Services对象做缓存。 
SOAP消息Handler能够访问代表RPC请求或者响应的SOAP消息。在JAX-RPC技术中,SOAP消息Handler可以部署在服务端,也可以在客户端使用。 

下面我们来看一个典型的SOAP消息Handler处理顺序: 
某个在线支付服务需要防止非授权的用户访问或者撰改服务端和客户端传输的信息,从而使用消息摘要(Message Digest)的方法对请求和响应的SOAP消息进行加密。当客户端发送SOAP消⑹保?突Ф说?andler把请求消息中的某些敏感的信息(如信用卡密码)进行加密,然后把加密后的SOAP消息传输到服务端;服务端的SOAP消息Handler截取客户端的请求,把请求的SOAP 消息进行解密,然后把解密后的SOAP消息派发到目标的Web服务端点。 

Apache axis是我们当前开发Web服务的较好的选择,使用axisWeb服务开发工具,可以使用Handler来对服务端的请求和响应进行处理。典型的情况下,请求传递如图1所示。 


 

图1 SOAP消息的传递顺序


在图中,轴心点(pivot point)是Apache与提供程序功能相当的部分,通过它来和目标的Web服务进行交互,它通常称为Provider。axis中常用的Provider有Java:RPC,java:MSG,java:EJB。一个Web服务可以部署一个或者多个Handler。 

Apache axis中的Handler体系结构和JAX-RPC 1.0(JSR101)中的体系结构稍有不同,需要声明的是,本文的代码在axis中开发,故需要在axis环境下运行。 

在axis环境下,SOAP消息Handler必须实现org.apache.axis.Handler接口(在JAX-RPC 1.0规范中,SOAP消息Handler必须实现javax.xml.rpc.handler.Handler接口),org.apache.axis.Handler接口的部分代码如下: 

例程1 org.apache.axis.Handle的部分代码


public interface Handler extends Serializable {
    public void init();  
    public void cleanup();
    public void invoke(MessageContext msgContext) throws AxisFault ;

    public void onFault(MessageContext msgContext);
    public void setOption(String name, Object value);    
    public Object getOption(String name);
   
    public void setName(String name);   
    public String getName();     
    public Element getDeploymentData(Document doc);
    public void generateWSDL(MessageContext msgContext) throws AxisFault;
   …
}

 

为了提供开发的方便,在编写Handler时,只要继承org.apache.axis.handlers. BasicHandler即可,BasicHandler是Handler的一个模板,我们看它的部分代码: 

例程2 BasicHandler的部分代码


public abstract class BasicHandler implements Handler {
    protected static Log log =
        LogFactory.getLog(BasicHandler.class.getName());
    protected Hashtable options;
    protected String name;
    //这个方法必须在Handler中实现。
public abstract void invoke(MessageContext msgContext) throws AxisFault;
public void setOption(String name, Object value) {
        if ( options == null ) initHashtable();
        options.put( name, value );
    }

}

 

BasicHandler中的(MessageContext msgContext)方法是Handler实现类必须实现的方法,它通过MessageContext来获得请求或者响应的SOAPMessage对象,然后对SOAPMessage进行处理。 

在介绍Handler的开发之前,我们先来看一下目标Web服务的端点实现类的代码,如例程3所示。 

例程3 目标Web服务的端点实现类


package com.hellking.webservice;
public class HandleredService 
{
 //一个简单的Web服务
 public String publicMethod(String name)
 {
  return Hello!+name;
 }
}
//另一个Web服务端点:
package com.hellking.webservice;
public class OrderService 
{
       //web服务方法:获得客户端的订单信息,并且对订单信息进行对应的处理,
通常情况是把订单的信息写入数据库,然后可客户端返回确认信息。
 public String orderProduct(String name,String address,String item,int quantity,Card card)
 {
  String cardId=card.getCardId();
  String cardType=card.getCardType();
  String password=card.getPassword();
  String rderInfo=name=+name+,address=+address+,item=+item+,quantity=+quantity+
,cardId=+cardId+,cardType=+cardType+,password=+password;
  System.out.println(这里是客户端发送来的信息:);
  System.out.println(orderInfo);  
  return orderInfo;
 } 
}

 

下面我们分不同情况讨论Handler的使用实例。

使用Handler为系统做日志

Handler为系统做日志是一种比较常见而且简单的使用方式。和Servlet中的Filter一样,我们可以使用Handler来把用户的访问写入系统日志。下面我们来看日志Handler的具体代码,如例程4所示。 

例程4 LogHandler的代码


package com.hellking.webservice;

import java.io.FileOutputStream;
import java.io.PrintWriter;
import java.util.Date;

import org.apache.axis.AxisFault;
import org.apache.axis.Handler;
import org.apache.axis.MessageContext;
import org.apache.axis.handlers.BasicHandler;

public class LogHandler extends BasicHandler {
  
   /**invoke,每一个handler都必须实现的方法。
  */
    public void invoke(MessageContext msgContext) throws AxisFault
    {
       //每当web服务被调用,都记录到log中。
        try {
            Handler handler = msgContext.getService();
            String filename = (String)getOption(filename);
            if ((filename == null) || (filename.equals()))
                throw new AxisFault(Server.NoLogFile,
                                 No log file configured for the LogHandler!,
                                    null, null);
            FileOutputStream fos = new FileOutputStream(filename, true);            
            PrintWriter writer = new PrintWriter(fos);            
            Integer counter = (Integer)handler.getOption(accesses);
            if (counter == null)
                counter = new Integer(0);
            
            counter = new Integer(counter.intValue() + 1);            
            Date date = new Date();
            msgContext.getMessage().writeTo(System.out);
           
            String result = 在+date + : Web 服务  +
                            msgContext.getTargetService() +
                             被调用,现在已经共调用了  + counter +  次.;
            handler.setOption(accesses, counter);            
            writer.println(result);            
            writer.close();
        } catch (Exception e) {
            throw AxisFault.makeFault(e);
        }
    }
}

 

前面我们说过,Handler实现类必须实现invoke方法,invoke方法是Handler处理其业务的入口点。LogHandler的主要功能是把客户端访问的Web服务的名称和访问时间、访问的次数记录到一个日志文件中。 

下面部署这个前面开发的Web服务对像,然后为Web服务指定Handler。编辑Axis_Home/WEB-INF/ server-config.wsdd文件,在其中加入以下的内容:



<service name=HandleredService provider=java:RPC>
  <parameter name=allowedMethods value=*/>
  <parameter name=className value=com.hellking.webservice.HandleredService/>
  <parameter name=allowedRoles value=chen/>
  <beanMapping languageSpecificType=java:com.hellking.webservice.Card
 qname=card:card xmlns:card=card/>
  <requestFlow>
<handler name=logging type=java:com.hellking.webservice.LogHandler>
  <parameter name=filename value=c:MyService.log/>
 </handler>
  </requestFlow>
 </service>

 



</globalConfiguration>

  <handler name=logging type=java:com.hellking.webservice.LogHandler>
  <parameter name=filename value=c:MyService.log/>
 </handler>

<service name=HandleredService provider=java:RPC>

  <requestFlow>
  <handler type=logging/>
   …<!--在这里可以指定多个Handler-->
  </requestFlow>
 </service>

 


http://127.0.0.1:8080/handler/services/HandleredService?wsdl&method=publicMethod&name=chen

 

注意:这个URL需要根据具体情况改变。



在Sun Jul 06 22:42:03 CST 2003: Web 服务 HandleredService 被调用,现在已经共调用了 1 次.
在Sun Jul 06 22:42:06 CST 2003: Web 服务 HandleredService 被调用,现在已经共调用了 2 次.
在Sun Jul 06 22:42:13 CST 2003: Web 服务 HandleredService 被调用,现在已经共调用了 3 次.

 

使用Handler对用户的访问认证

使用Handler为用户访问认证也是它的典型使用,通过它,可以减少在Web服务端代码中认证的麻烦,同时可以在部署描述符中灵活改变用户的访问权限。 

对用户认证的Handler代码如下:

例程5 认证的Handler


package com.hellking.webservice;
import….

//此handler的目的是对用户认证,只有认证的用户才能访问目标服务。
public class AuthenticationHandler extends BasicHandler
{
 /**invoke,每一个handler都必须实现的方法。
  */
 public void invoke(MessageContext msgContext)throws AxisFault
 {  
        SecurityProvider provider = (SecurityProvider)msgContext.getProperty(securityProvider);
  if(provider==null)
  {
   provider= new SimpleSecurityProvider();
             msgContext.setProperty(securityProvider, provider);
         }
        if(provider!=null)
        {         
         String userId=msgContext.getUsername();
         String password=msgContext.getPassword();
         
         //对用户进行认证,如果authUser==null,表示没有通过认证,
抛出Server.Unauthenticated异常。
            org.apache.axis.security.AuthenticatedUser authUser 
= provider.authenticate(msgContext);
            if(authUser==null)
              throw new AxisFault(Server.Unauthenticated, 
Messages.getMessage(cantAuth01, userId), null,null);
            //用户通过认证,把用户的设置成认证了的用户。
            msgContext.setProperty(authenticatedUser, authUser);
        } 
    }
}

 

在AuthenticationHandler代码里,它从MessageContext中获得用户信息,然后进行认证,如果认证成功,那么就使用msgContext.setProperty(authenticatedUser, authUser)方法把用户设置成认证了的用户,如果认证不成功,那么就抛出Server.Unauthenticated异常。 

部署这个Handler,同样,在server-config里加入以下的内容:



<handler name=authen type=java:com.hellking.webservice.AuthenticationHandler/>

<service name=HandleredService provider=java:RPC>
<parameter name=allowedRoles value=chen/>

</service>

 

WEB-INF/users.lst文件中加入以下用户:



hellking hellking
chen chen

 


http://127.0.0.1:8080/handler/services/HandleredService?wsdl&method=publicMethod&name=chen

 

将会提示输入用户名和密码,如图2所示。


 

图2 访问web服务时的验证 

如果客户端是应用程序,那么可以这样在客户端设置用户名和密码:

例程6 在客户端设置用户名和密码


http://127.0.0.1:808
String endpointURL = http://127.0.0.1:8080/handler/services/HandleredService?wsdl;            
            Service  service = new Service();
            Call     call    = (Call) service.createCall();
            call.setTargetEndpointAddress( new java.net.URL(endpointURL) );
            call.setOperationName( new
 QName(HandleredService, orderProduct) );//设置操作的名称。
            //由于需要认证,故需要设置调用的用户名和密码。
            call.getMessageContext().setUsername(chen);
            call.getMessageContext().setPassword(chen);          

 

使用Handler对用户的访问授权

对于已经认证了的用户,有时在他们操作某个特定的服务时,还需要进行授权,只有授权的用户才能继续进行操作。我们看对用户进行授权的Handler的代码。 

例程7 对用户进行授权的代码


package com.hellking.webservice;

import…

//此handler的目的是对认证的用户授权,只有授权的用户才能访问目标服务。
public class AuthorizationHandler extends BasicHandler
{
 /**invoke,每一个handler都必须实现的方法。
  */
 public void invoke(MessageContext msgContext)
        throws AxisFault
    {
      
        AuthenticatedUser user = (AuthenticatedUser)msgContext.getProperty(authenticatedUser);
        if(user == null)
            throw new AxisFault(Server.NoUser, Messages.getMessage(needUser00), null, null);
        String userId = user.getName();
        Handler serviceHandler = msgContext.getService();
        if(serviceHandler == null)
            throw new AxisFault(Messages.getMessage(needService00));
        String serviceName = serviceHandler.getName();
        String allowedRoles = (String)serviceHandler.getOption(allowedRoles);
        if(allowedRoles == null)
        {          
            return;
        }
        SecurityProvider provider = (SecurityProvider)msgContext.getProperty(securityProvider);
        if(provider == null)
            throw new AxisFault(Messages.getMessage(noSecurity00));
        for(StringTokenizer st = new StringTokenizer(allowedRoles, ,); st.hasMoreTokens();)
        {
            String thisRole = st.nextToken();
            if(provider.userMatches(user, thisRole))
            {
                return;//访问授权通过。
            }
        }
        //没有通过授权,不能访问目标服务,抛出Server.Unauthorized异常。
        throw new AxisFault(Server.Unauthorized, 
Messages.getMessage(cantAuth02, userId, serviceName), null, null);
    }     
}

 

在service-config.wsdd文件中,我们为Web服务指定了以下的用户:



<parameter name=allowedRoles value=chen,hellking/>

 

provider.userMatches(user, thisRole)将匹配允许访问Web服务的用户,如果匹配成功,那么授权通过,如果没有授权成功,那么抛出Server.Unauthorized异常。 

使用Handler对SOAP消息进行加密、解密

由于SOAP消息在HTTP协议中传输,而HTTP协议的安全度是比较低的,怎么保证信息安全到达对方而不泄漏或中途被撰改,将是Web服务必须解决的问题。围绕Web服务的安全,有很多相关的技术,比如WS-Security,WS-Trace等,另外,还有以下相关技术: 

XML Digital Signature(XML数字签名) 
XML Encryption (XML加密) 
XKMS (XML Key Management Specification) 
XACML (eXtensible Access Control Markup Language) 
SAML (Secure Assertion Markup Language) 
ebXML Message Service Security 
Identity Management & Liberty Project 
不管使用什么技术,要使信息安全到达对方,必须把它进行加密,然后在对方收到信息后解密。为了提供开发的方便,可以使用Handler技术,在客户端发送信息前,使用客户端的Handler对SOAP消息中的关键信息进行加密;在服务端接收到消息后,有相应的Handler把消息进行解密,然后才把SOAP消息派发到目标服务。 

下面我们来看一个具体的例子。加入使用SOAP消息发送订单的信息,订单的信息如下:

例程8 要发送的订单SOAP消息


<soap-env:Envelope xmlns:soap-env=http://schemas.xmlsoap.org/soap/envelope/>
    <soap-env:Header/>
    <soapenv:Body>
   <ns1:orderProduct soapenv:encodingStyle=http://schemas.xmlsoap.org/soap/encod
 ing/ xmlns:ns1=HandleredService>
    <arg0 xsi:type=xsd:string>hellking</arg0>
    <arg1 xsi:type=xsd:string>beijing</arg1>
    <arg2 xsi:type=xsd:string>music-100</arg2>
    <arg3 xsi:type=xsd:int>10</arg3>
    <arg4 href=#id0/>
   </ns1:orderProduct>
   <multiRef id=id0 soapenc:root=0 soapenv:encodingStyle=http://schemas.xmls
 oap.org/soap/encoding/ xsi:type=ns2:card xmlns:soapenc=http://schemas.xmlsoa
 p.org/soap/encoding/ xmlns:ns2=card>
    
        <cardId xsi:type=xsd:string>234230572</cardId>
                
        <cardType xsi:type=xsd:string>visa</cardType>
                
        <password xsi:type=xsd:string>234kdsjf</password>
   </multiRef>
  </soapenv:Body>
   </soap-env:Envelope>

      
 

上面的黑体字是传输的敏感信息,故需要加密。我们可以使用Message Digest之类的方法进行加密。加密之后的信息结构如下: 

例程9 把SOAP消息某些部分加密


<?xml version=1.0 encoding=UTF-8?>
<soapenv:Envelope …
<soapenv:Body>
  <ns1:orderProduct …>
   …
   <arg4 href=#id0/>
  </ns1:orderProduct>
  <multiRef …>
   <ns3:EncryptedData xmlns:ns3=http://www.w3.org/2000/11/temp-xmlenc>
    <ns3:DigestMethod Algorithm=http://www.w3.org/2000/09/xmldsig#sha1/>
    <ns3:DigestValue>rO0ABXQAkyA8Y2FyZ…….
</ns3:DigestValue>
   </ns3:EncryptedData>
  </multiRef>
 </soapenv:Body>
</soapenv:Envelope>

 

图3是使用Handler对SOAP消息进行加密、解密后,SOAP消息在传递过程中结构的改变。 


 

图3 SOAP消息的加密和解密 

从上图可以看出,通过使用加密、解密的Handler,可以确保消息的安全传递。进一步说,如果把这种Handler做成通用的组件,那么就可以灵活地部署到不同的服务端和客户端。 

客户端的Handler的功能是把SOAP消息使用一定的规则加密,假如使用Message Digest加密方式,那么可以这样对敏感的信息加密: 

例程10 对SOAP消息的敏感部分加密


         SOAPElement ele= soapBodyElement.addChildElement(envelope.createName
(EncryptedData,,http://www.w3.org/2000/11/temp-xmlenc)); 
ele.addChildElement(DigestMethod).addAttribute(envelope.createName
(Algorithm),http://www.w3.org/2000/09/xmldsig#sha1);
   
   byte[] digest=new byte[100];
   ByteArrayOutputStream  out=new  ByteArrayOutputStream (100);
   MessageDigest md = MessageDigest.getInstance(SHA);
   ObjectOutputStream oos = new ObjectOutputStream(out);
   //要加密的信息
    String data =  <cardId xsi:type='xsd:string'>234230572
                        </cardId><cardType xsi:type='xsd:string'>visa</cardType>
                        <password     xsi:type='xsd:string'>234kdsjf</password>;

   byte buf[] = data.getBytes();
   md.update(buf);
   oos.writeObject(data);
   oos.writeObject(md.digest());  
   digest=out.toByteArray();
   out.close();      
      ele.addChildElement(DigestValue).addTextNode(new 
sun.misc.BASE64Encoder().encode(digest));//对加密的信息编码

 

在客户端发送出SOAP消息时,客户端的Handler拦截发送的SOAP消息,然后对它们进行加密,最后把加密的信息传送到服务端。

服务端接收到加密的信息后,解密的Handler会把对应的加密信息解密。服务端Handler代码如例程11所示。 

例程11 服务端解密Handler


package com.hellking.webservice;
import…
//此handler的目的是把加密的SOAP消息解密成目标服务可以使用的SOAP消息。
public class MessageDigestHandler extends BasicHandler
{
 /**invoke,每一个handler都必须实现的方法。
  */
 public void invoke(MessageContext msgContext)throws AxisFault
 {
  try
  {   
   //从messageContext例取得SOAPMessage对象。
   SOAPMessage msg=msgContext.getMessage();
   SOAPEnvelope env=msg.getSOAPPart().getEnvelope();
   Iterator it=env.getBody().getChildElements();   
   SOAPElement multi=null;
   while(it.hasNext())
    {
     multi=(SOAPElement)it.next();//multi是soapbody的最后一个child。
    }
   String value=;//value表示加密后的值。
   SOAPElement digestValue=null;
   Iterator it2=multi.getChildElements();
   while(it2.hasNext())
   {
    SOAPElement temp=(SOAPElement)it2.next();
    Iterator it3=temp.getChildElements(env.createName(DigestValue,
ns3,http://www.w3.org/2000/11/temp-xmlenc));
    if(it3.hasNext())
    value=((SOAPElement)it3.next()).getValue();//获得加密的值    
   }   
    //把加密的SOAPMessage解密成目标服务可以调用的SOAP消息。
    SOAPMessage   msg2=convertMessage(msg,this.decrypte(value));
    msgContext.setMessage(msg2);        
      }
      catch(Exception e)
      {
       e.printStackTrace();
      }      
 } 
 //这个方法是把加密的数据进行解密,返回明文。
 public String decrypte(String value)
 {
  String data=null;
  try
  {
   ByteArrayInputStream fis = new 
ByteArrayInputStream(new sun.misc.BASE64Decoder().decodeBuffer(value));
   ObjectInputStream ois = new ObjectInputStream(fis);
   Object o = ois.readObject();
   if (!(o instanceof String)) {
    System.out.println(Unexpected data in string);
    System.exit(-1);
   }
   data = (String) o;
   System.out.println(解密后的值: + data);
   o = ois.readObject();
   if (!(o instanceof byte[])) {
    System.out.println(Unexpected data in string);
    System.exit(-1);
   }   
   byte origDigest[] = (byte []) o;
   MessageDigest md = MessageDigest.getInstance(SHA);
   md.update(data.getBytes());
  }
         …
  return data;
  }
    //把解密后的信息重新组装成服务端能够使用的SOAP消息。
 public SOAPMessage convertMessage(SOAPMessage msg,String data)
 {    
   ….
 }
}      

autoair
关注
专栏目录
一次真实axis2渗透测试
systemino的博客
08-04 1191
一 前言 最近在渗透测试中,遇到一个比较有趣的站,因此来分享一下 二 信息收集 首先通过nmap进行端口扫描,同时通过dirsearch进行目录扫描,dirsearch扫描结果如下。 通过目录扫描发现一些有用的信息 第一 axis2构建的webservice 第二 axis2的后台登录地址(/axis2/axis2-admin/)存在 google axis2漏洞,发现多半都是默认口令...
使用Handler来增强Web服务的功能(生成日志、用户认证、用户授权、信息加密/解密)
Aone --- 无限的未知
04-26 1365
本文是J2EE Web服务开发系列文章的第六篇,本文从SOAP消息中Handler的基本概念入手,逐步深入讨论Handler的各种典型使用(生成日志、用户认证、用户授权、信息加密/解密)以及实现方法。阅读本文前您需要以下的知识和工具: Apache axis1.1,并且会初步使用; Tomcat 4.0以上, 并且会初步使用; SOAP消息(SOAP M
使用Handler来增强Web服务的功能
wuyisky
07-28 159
Handler的基本概念J2EEWeb服务中的Handler技术特点非常像Servlet技术中的Filter。我们知道,在Servlet中,当一个HTTP到达服务端时,往往要经过多个Filter对请求进行过滤,然后才到达提供服务的Servlet,这些Filter的功能往往是对请求进行统一编码,对用户进行认证,把用户的访问写入系统日志等。相应的,Web服务中的Handler通常也提供一下的功能:对客...
webHandler
05-25 631
webHandler 默认webHandler实现是DispatcherHandler @Bean public DispatcherHandler webHandler() { return new DispatcherHandler(); }
使用handler对web service进行访问的认证实现
wujiang88的博客
03-06 354
handler也有很多的作用啊,比如硬件的初始化; 这里我们来做一个认证的服务的handler 这里我必须要声明的是,我们在写完了Handler的时候,我们必须要在我们的server-config.wsdd中配置我们的handler啊 public class AuthenticationHandler extends BasicHandler {    Log log = LogFact
axis2-ws:axis2 Web服务,jax-ws Web服务
05-13
JAX-WS是J2EE和Java EE 5及更高版本的一部分,提供了一种更简洁、类型安全的方式来创建和消费Web服务。 1. **注解驱动**:通过使用如`@WebService`、`@WebMethod`等注解,可以直接在Java类上定义服务接口,简化了...
xalanjava源码-axis-axis2-java-rampart:ApacheAxis2-Java城墙
06-05
Rampart是Axis2的一个模块,专门用于提供安全功能,它实现了WS-Security标准,包括消息认证、加密、数字签名等,确保Web服务通信的安全性。 【描述】"xalan java源代码" 描述中的“xalan java源代码”再次强调了...
axis-bin-1_4.rar
07-29
标题中的"axis-bin-1_4.rar"是一个压缩文件,其中包含了Axis库的版本1.4的二进制文件。Axis是一个开源的Java Web服务开发工具,它允许开发者创建、部署和管理Web服务。这个工具在Java社区中广泛用于构建SOAP(简单...
axis-1.4.jar
02-12
5. **模块化设计**:Axis允许开发者通过插件机制扩展其功能,比如添加对WS-Security(Web服务安全)或WS-I Basic Profile的支持。 6. **类型映射**:Axis提供了一种机制将Java类型映射到SOAP消息中的XML数据类型,...
axis2-1.7.9.zip
09-27
配置文件`axis2.xml`的修改可以定制服务的行为,如设置端口、添加安全策略等。 在实际应用中,Apache Axis2支持多种协议,如HTTP、HTTPS、SMTP等,并且与各种编程语言(如Java、C#、Python等)兼容,提供了丰富的...
Handler简要介绍
zd394071264的专栏
08-14 785
Handler作为Android的一个非常重要的异步消息机制。可以用以在不同的线程中传送和处理消息。 首先声明一个重点,在Android中要使Hanler对象工作,则首先需要Handler对象所出的线程中存在一个消息队列(MessageQueue),因此在创建Hander对象之前需要先创建一个Looper对象,有人也许会有疑问:Looper对象是干啥的呢?Looper从字面的意思看有点“循环器”
解决 请求因 HTTP 状态 401 失败: Unauthorized。
热门推荐
zhx13828617的专栏
10-10 1万+
 开始学习WebServer,客户端调用时,提示 "请求因 HTTP 状态 401 失败: Unauthorized。"查看相关文档,找到两种解决方法1.右击 - 虚拟目录 - 属性 - 目录安全性 - 编辑 打开对话框后,勾选"启用匿名访问"2.在WebServer实例化调用前加 "字段名..Credentials = System.Net.CredentialCache.DefaultCr
api接口安全测试-Wsdl&Swagger&Webpack
告白的博客
05-01 7987
0x00 api接口 通常在网站的通讯中,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露,或者其他的sql注入等等安全问题,本文介绍三种api的利用与发现 0x01 于#WebService类的Wsdl 在WebService的开发,特别是和第三方有接口的时候,走的是SOAP协议,然后会有WSDL文件(或网址),这时候可以对wsdl文件进行相关的测似,敏感信息等等。
一文通读 敏感信息泄露
Ms08067安全实验室
09-22 963
0x01 等保测评项GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.4安全计算环境—入侵防范项中要求包括:a)应遵循最小安装的原则,仅安装需要的组件和应用程序;b)应关闭不需要的系统服务、默认共享和高危端口;c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符...
nexus3 Unauthorized问题解决
hongweigg的专栏
03-28 6881
环境 Nexus3 version : 3.20.1-01 问题 nexus3 在安装完后通过mvn deploy命令,出行“Return code is: 401, ReasonPhrase: Unauthorized.”异常。 分析解决 1、maven setting.xml配置: <server> <id>maven-releases...
Handler机制(一)——Handler运行流程分析
最新发布
一切皆是定数的博客
10-07 2666
Handler运行机制
WebService 开发工具 AXIS 指南
xiang_fu的博客
02-19 211
WebService开发工具AXIS指南 1 介绍 Axis ( A pache eX tensible I nteractionS ystem )是一款开源的 WebService 运行引擎,它是 SOAP 协议的一个实现,其本身来源于 Apache 的另一个项目 Apache SOAPAxis 分为 1.x 系列和 Axis 2 系列,两个系列体系结构和使用上有较大的...
轴心2 Web Service安全入门:WS-Security与应用级别保护
1. **J2EE Web应用默认访问控制**:这是最低级别的安全措施,仅适用于对安全需求不高的场景,依赖于Web应用的内置认证机制,但信息本身仍然以明文形式传输。 2. **Axis2 Handler进行访问控制**:轴2框架允许开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值