建立安全的AXIS服务
在前面的文章中,我们实现了最简单的AXIS服务。现在我们一起来讨论一下Web服务的安全问题。
根据应用的对安全要求的级别不同,可以采用不同的方式来实现安全性,以下是目前最常用的一些实现方式(从低到高排列):
1、J2EE Web应用默认的访问控制(数据是明文的);
2、使用axis的Handler进行访问控制(数据是明文的);
3、使用Servlet过滤器(Filter)进行访问控制(数据是明文的);
4、使用SSL/HTTPS协议来传输(加密的数据传输协议);
5、使用WS-Security规范对信息进行加密与身份认证(数据被加密传输)。
我们仅讨论第2、4、5种实现方式。在此之前我们先来了解一下AXIS自带的一个工具SOAPMonitor。
一、SOAPMonitor的使用
打开 http://localhost:8080/axis/进入AXIS的主页面,你会看见:
SOAPMonitor-[disabled by default for security reasons] ,默认状态下其是不可用的,现在我们就来激活它。
1、到目录%TOMCAT_HOME%//webapps//axis下,你会找到SOAPMonitorApplet.java,在命令行中编译它:
javac -classpath %AXIS_HOME%//lib//axis.jar SOAPMonitorApplet.java
编译完之后你会看见目录下多了很多CLASS文件,它们的名字是SOAPMonitorApplet*.class
2、在目录%TOMCAT_HOME%//webapps//axis//WEB-INF下打开server-config.wsdd文件,将下面的两部分代码直
接加入其中相应的位置
第一部分:
<handler name=soapmonitor type=java:org.apache.axis.handlers.SOAPMonitorHandler>
<parameter name=wsdlURL value=/axis/SOAPMonitorService-impl.wsdl/>
<parameter name=namespace value=http://tempuri.org/wsdl/2001/12/SOAPMonitorService-impl.wsdl/>
<parameter name=serviceName value=SOAPMonitorService/>
<parameter name=portName value=Demo/>
</handler>
第二部分:
<service name=SOAPMonitorService provider=java:RPC>
<parameter name=allowedMethods value=publishMessage/>
<parameter name=className value=org.apache.axis.monitor.SOAPMonitorService/>
<parameter name=scope value=Application/>
</service>
3、选择你要监控的服务
以上次的HelloWorld服务为例,在server-config.wsdd中你会找到这段代码
<service name=HelloWorld provider=java:RPC>
<parameter name=allowedMethods value=sayHello/>
<parameter name=className value=HelloWorld/>
</service>
在这段代码中加入以下的代码:
<requestFlow>
<handler type=soapmonitor/>
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
最后的样子是:
<service name=HelloWorld provider=java:RPC>
<requestFlow>
<handler type=soapmonitor/>
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
<parameter name=allowedMethods value=sayHello/>
<parameter name=className value=HelloWorld/>
</service>
这样HelloWorld服务就被监控了
4、启动Tomcat,打开http://localhost:8080/axis/SOAPMonitor,你就会看到Applet界面,在
jbuilder2005中运行我们上次写的客户端程序 TestClient.java。OK!你会在Applet界面看
见客户端与服务器端互发的XML内容,注意这里是明文!
二、使用axis的Handler进行访问控制(对安全要求不高时推荐)
axis为Web服务的访问控制提供了相关的配置描述符,并且提供了一个访问控制的简单 Handler。默认情况下,你只要在配置描述符中添加用户,然后在Web服务器的部署描述符中自动允许的角色即可。
1、在axis的配置文件users.lst(位于WEB-INF目录下)中添加一个用户,如ronghao1111,表示
用户名为ronghao,密码为1111。
2、把例HelloWorld的Web服务重新部署(新加的部分已标出)
<service name=HelloWorld provider=java:RPC>
<requestFlow>
<handler type=soapmonitor/>
<handler type=Authenticate/> //新加的AXIS自带的Handler
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
<parameter name=allowedMethods value=sayHello/>
<parameter name=allowedRoles value=ronghao/> //注意,这里是新加的部分!
<parameter name=className value=HelloWorld/>
</service>
在这个部署描述符中,指定HelloWorld服务只能被ronghao访问
3、修改客户端程序 TestClient.java,增加访问用户名、密码(新加的部分已标出)
TestClient.java
import org.apache.axis.client.Call;
import org.apache.axis.client.Service;
import javax.xml.rpc.ParameterMode;
public class TestClient
{
public static void main(String [] args) throws Exception {
String endpoint = http://localhost: +8080+ /axis/HelloWorld;
Service service = new Service();
Call call = (Call) service.createCall();
call.getMessageContext().setUsername(ronghao);// 用户名。
call.getMessageContext().setPassword(1111);// 密码
call.setTargetEndpointAddress( new java.net.URL(endpoint) );
call.setOperationName( sayHello );
String res = (String) call.invoke( new Object[] {} );
System.out.println( res );
}
}
执行TestClient,能够顺利访问Web服务;如果修改用户名或者密码,那么就不能访问 。同样,
你在http://localhost:8080/axis/SOAPMonitor中看到的请求和响应的XML是明文!
三、使用SSL/HTTPS协议来传输
Web服务也可以使用SSL作为传输协议。虽然JAX-RPC并没有强制规定是否使用SSL协议,但在tomcat
下使用HTTPS协议。
1、使用JDK自带的工具创建密匙库和信任库。
1)通过使用以下的命令来创建服务器端的密匙库:
keytool -genkey -alias Server -keystore server.keystore -keyalg RSA
输入keystore密码: changeit
您的名字与姓氏是什么?
[Unknown]: Server
您的组织单位名称是什么?
[Unknown]: ec
您的组织名称是什么?
[Unknown]: ec
您所在的城市或区域名称是什么?
[Unknown]: beijing
您所在的州或省份名称是什么?
[Unknown]: beijing
该单位的两字母国家代码是什么
[Unknown]: CN
CN=Server, OU=ec, O=ec, L=beijing, ST=beijing, C=CN 正确吗?
[否]: y
输入<Server>的主密码
(如果和 keystore 密码相同,按回车):
以上命令执行完成后,将获得一个名为server.keystore的密匙库。
2)生成客户端的信任库。首先输出RSA证书:
keytool -export -alias Server -file test_axis.cer -storepass changeit -keystore server.keystore
然后把RSA证书输入到一个新的信任库文件中。这个信任库被客户端使用,被用来验证服务器端的身份。
keytool -import -file test_axis.cer -storepass changeit -keystore client.truststore -alias serverkey -noprompt
以上命令执行完成后,将获得一个名为client.truststore的信任库。
3)同理生成客户端的密匙库client.keystore和服务器端的信任库server.truststore.方便起见给出.bat文件
gen-cer-store.bat内容如下:
set SERVER_DN=CN=Server, OU=ec, O=ec, L=BEIJINGC, S=BEIJING, C=CN
set CLIENT_DN=CN=Client, OU=ec, O=ec, L=BEIJING, S=BEIJING, C=CN
set KS_PASS=-storepass changeit
set KEYINFO=-keyalg RSA
keytool -genkey -alias Server -dname %SERVER_DN% %KS_PASS% -keystore server.keystore %KEYINFO% -keypass changeit
keytool -export -alias Server -file test_axis.cer %KS_PASS% -keystore server.keystore
keytool -import -file test_axis.cer %KS_PASS% -keystore client.truststore -alias serverkey -noprompt
keytool -genkey -alias Client -dname %CLIENT_DN% %KS_PASS% -keystore client.keystore %KEYINFO% -keypass changeit
keytool -export -alias Client -file test_axis.cer %KS_PASS% -keystore client.keystore
keytool -import -file test_axis.cer %KS_PASS% -keystore server.truststore -alias clientkey -noprompt
好的,现在我们就有了四个文件:server.keystore,server.truststore,client.keystore,client.truststore
2、更改Tomcat的配置文件(server.xml),增加以下部署描述符:(其实里面有,只是被注释掉了)
<Connector port=8440
maxThreads=150 minSpareThreads=25 maxSpareThreads=75
enableLookups=false disableUploadTimeout=true
acceptCount=100 scheme=https secure=true
clientAuth=true keystoreFile=f://server.keystore keystorePass=changeit
truststoreFile=f://server.truststore truststorePass=changeit
sslProtocol=TLS />
3、把HelloWorld重新部署一次,在server-config.wsdd中修改如下部署代码。(还原了而已)
<service name=HelloWorld provider=java:RPC>
<requestFlow>
<handler type=soapmonitor/>
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
<parameter name=allowedMethods value=sayHello/>
<parameter name=className value=HelloWorld/>
</service>
4、修改客户端程序 TestClient.java(修改的部分已标出)
public class TestClient
{
public static void main(String [] args) throws Exception {
String endpoint = https://localhost: +8440+ /axis/HelloWorld;//注意区别在这里!https!
Service service = new Service();
Call call = (Call) service.createCall();
call.setTargetEndpointAddress( new java.net.URL(endpoint) );
call.setOperationName( sayHello );
String res = (String) call.invoke( new Object[] {} );
System.out.println( res );
}
}
5、最后使用命令来执行客户端程序
java -cp %AXISCLASSPATH%
-Djavax.net.ssl.keyStore=client.keystore
-Djavax.net.ssl.keyStorePassword=changeit
-Djavax.net.ssl.trustStore=client.truststore
TestClient
在前面的文章中,我们实现了最简单的AXIS服务。现在我们一起来讨论一下Web服务的安全问题。
根据应用的对安全要求的级别不同,可以采用不同的方式来实现安全性,以下是目前最常用的一些实现方式(从低到高排列):
1、J2EE Web应用默认的访问控制(数据是明文的);
2、使用axis的Handler进行访问控制(数据是明文的);
3、使用Servlet过滤器(Filter)进行访问控制(数据是明文的);
4、使用SSL/HTTPS协议来传输(加密的数据传输协议);
5、使用WS-Security规范对信息进行加密与身份认证(数据被加密传输)。
我们仅讨论第2、4、5种实现方式。在此之前我们先来了解一下AXIS自带的一个工具SOAPMonitor。
一、SOAPMonitor的使用
打开 http://localhost:8080/axis/进入AXIS的主页面,你会看见:
SOAPMonitor-[disabled by default for security reasons] ,默认状态下其是不可用的,现在我们就来激活它。
1、到目录%TOMCAT_HOME%//webapps//axis下,你会找到SOAPMonitorApplet.java,在命令行中编译它:
javac -classpath %AXIS_HOME%//lib//axis.jar SOAPMonitorApplet.java
编译完之后你会看见目录下多了很多CLASS文件,它们的名字是SOAPMonitorApplet*.class
2、在目录%TOMCAT_HOME%//webapps//axis//WEB-INF下打开server-config.wsdd文件,将下面的两部分代码直
接加入其中相应的位置
第一部分:
<handler name=soapmonitor type=java:org.apache.axis.handlers.SOAPMonitorHandler>
<parameter name=wsdlURL value=/axis/SOAPMonitorService-impl.wsdl/>
<parameter name=namespace value=http://tempuri.org/wsdl/2001/12/SOAPMonitorService-impl.wsdl/>
<parameter name=serviceName value=SOAPMonitorService/>
<parameter name=portName value=Demo/>
</handler>
第二部分:
<service name=SOAPMonitorService provider=java:RPC>
<parameter name=allowedMethods value=publishMessage/>
<parameter name=className value=org.apache.axis.monitor.SOAPMonitorService/>
<parameter name=scope value=Application/>
</service>
3、选择你要监控的服务
以上次的HelloWorld服务为例,在server-config.wsdd中你会找到这段代码
<service name=HelloWorld provider=java:RPC>
<parameter name=allowedMethods value=sayHello/>
<parameter name=className value=HelloWorld/>
</service>
在这段代码中加入以下的代码:
<requestFlow>
<handler type=soapmonitor/>
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
最后的样子是:
<service name=HelloWorld provider=java:RPC>
<requestFlow>
<handler type=soapmonitor/>
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
<parameter name=allowedMethods value=sayHello/>
<parameter name=className value=HelloWorld/>
</service>
这样HelloWorld服务就被监控了
4、启动Tomcat,打开http://localhost:8080/axis/SOAPMonitor,你就会看到Applet界面,在
jbuilder2005中运行我们上次写的客户端程序 TestClient.java。OK!你会在Applet界面看
见客户端与服务器端互发的XML内容,注意这里是明文!
二、使用axis的Handler进行访问控制(对安全要求不高时推荐)
axis为Web服务的访问控制提供了相关的配置描述符,并且提供了一个访问控制的简单 Handler。默认情况下,你只要在配置描述符中添加用户,然后在Web服务器的部署描述符中自动允许的角色即可。
1、在axis的配置文件users.lst(位于WEB-INF目录下)中添加一个用户,如ronghao1111,表示
用户名为ronghao,密码为1111。
2、把例HelloWorld的Web服务重新部署(新加的部分已标出)
<service name=HelloWorld provider=java:RPC>
<requestFlow>
<handler type=soapmonitor/>
<handler type=Authenticate/> //新加的AXIS自带的Handler
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
<parameter name=allowedMethods value=sayHello/>
<parameter name=allowedRoles value=ronghao/> //注意,这里是新加的部分!
<parameter name=className value=HelloWorld/>
</service>
在这个部署描述符中,指定HelloWorld服务只能被ronghao访问
3、修改客户端程序 TestClient.java,增加访问用户名、密码(新加的部分已标出)
TestClient.java
import org.apache.axis.client.Call;
import org.apache.axis.client.Service;
import javax.xml.rpc.ParameterMode;
public class TestClient
{
public static void main(String [] args) throws Exception {
String endpoint = http://localhost: +8080+ /axis/HelloWorld;
Service service = new Service();
Call call = (Call) service.createCall();
call.getMessageContext().setUsername(ronghao);// 用户名。
call.getMessageContext().setPassword(1111);// 密码
call.setTargetEndpointAddress( new java.net.URL(endpoint) );
call.setOperationName( sayHello );
String res = (String) call.invoke( new Object[] {} );
System.out.println( res );
}
}
执行TestClient,能够顺利访问Web服务;如果修改用户名或者密码,那么就不能访问 。同样,
你在http://localhost:8080/axis/SOAPMonitor中看到的请求和响应的XML是明文!
三、使用SSL/HTTPS协议来传输
Web服务也可以使用SSL作为传输协议。虽然JAX-RPC并没有强制规定是否使用SSL协议,但在tomcat
下使用HTTPS协议。
1、使用JDK自带的工具创建密匙库和信任库。
1)通过使用以下的命令来创建服务器端的密匙库:
keytool -genkey -alias Server -keystore server.keystore -keyalg RSA
输入keystore密码: changeit
您的名字与姓氏是什么?
[Unknown]: Server
您的组织单位名称是什么?
[Unknown]: ec
您的组织名称是什么?
[Unknown]: ec
您所在的城市或区域名称是什么?
[Unknown]: beijing
您所在的州或省份名称是什么?
[Unknown]: beijing
该单位的两字母国家代码是什么
[Unknown]: CN
CN=Server, OU=ec, O=ec, L=beijing, ST=beijing, C=CN 正确吗?
[否]: y
输入<Server>的主密码
(如果和 keystore 密码相同,按回车):
以上命令执行完成后,将获得一个名为server.keystore的密匙库。
2)生成客户端的信任库。首先输出RSA证书:
keytool -export -alias Server -file test_axis.cer -storepass changeit -keystore server.keystore
然后把RSA证书输入到一个新的信任库文件中。这个信任库被客户端使用,被用来验证服务器端的身份。
keytool -import -file test_axis.cer -storepass changeit -keystore client.truststore -alias serverkey -noprompt
以上命令执行完成后,将获得一个名为client.truststore的信任库。
3)同理生成客户端的密匙库client.keystore和服务器端的信任库server.truststore.方便起见给出.bat文件
gen-cer-store.bat内容如下:
set SERVER_DN=CN=Server, OU=ec, O=ec, L=BEIJINGC, S=BEIJING, C=CN
set CLIENT_DN=CN=Client, OU=ec, O=ec, L=BEIJING, S=BEIJING, C=CN
set KS_PASS=-storepass changeit
set KEYINFO=-keyalg RSA
keytool -genkey -alias Server -dname %SERVER_DN% %KS_PASS% -keystore server.keystore %KEYINFO% -keypass changeit
keytool -export -alias Server -file test_axis.cer %KS_PASS% -keystore server.keystore
keytool -import -file test_axis.cer %KS_PASS% -keystore client.truststore -alias serverkey -noprompt
keytool -genkey -alias Client -dname %CLIENT_DN% %KS_PASS% -keystore client.keystore %KEYINFO% -keypass changeit
keytool -export -alias Client -file test_axis.cer %KS_PASS% -keystore client.keystore
keytool -import -file test_axis.cer %KS_PASS% -keystore server.truststore -alias clientkey -noprompt
好的,现在我们就有了四个文件:server.keystore,server.truststore,client.keystore,client.truststore
2、更改Tomcat的配置文件(server.xml),增加以下部署描述符:(其实里面有,只是被注释掉了)
<Connector port=8440
maxThreads=150 minSpareThreads=25 maxSpareThreads=75
enableLookups=false disableUploadTimeout=true
acceptCount=100 scheme=https secure=true
clientAuth=true keystoreFile=f://server.keystore keystorePass=changeit
truststoreFile=f://server.truststore truststorePass=changeit
sslProtocol=TLS />
3、把HelloWorld重新部署一次,在server-config.wsdd中修改如下部署代码。(还原了而已)
<service name=HelloWorld provider=java:RPC>
<requestFlow>
<handler type=soapmonitor/>
</requestFlow>
<responseFlow>
<handler type=soapmonitor/>
</responseFlow>
<parameter name=allowedMethods value=sayHello/>
<parameter name=className value=HelloWorld/>
</service>
4、修改客户端程序 TestClient.java(修改的部分已标出)
public class TestClient
{
public static void main(String [] args) throws Exception {
String endpoint = https://localhost: +8440+ /axis/HelloWorld;//注意区别在这里!https!
Service service = new Service();
Call call = (Call) service.createCall();
call.setTargetEndpointAddress( new java.net.URL(endpoint) );
call.setOperationName( sayHello );
String res = (String) call.invoke( new Object[] {} );
System.out.println( res );
}
}
5、最后使用命令来执行客户端程序
java -cp %AXISCLASSPATH%
-Djavax.net.ssl.keyStore=client.keystore
-Djavax.net.ssl.keyStorePassword=changeit
-Djavax.net.ssl.trustStore=client.truststore
TestClient
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
