WebService CXF学习(高级篇3):WS-Security

最新推荐文章于 2022-11-13 19:21:05 发布
最新推荐文章于 2022-11-13 19:21:05 发布
阅读量140 收藏
点赞数
分类专栏: webservice-cxf 文章标签: Security WebService Java Apache 互联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiying0504/article/details/83875329
版权
这一节我们来探讨一下WebService安全问题,如果所有系统都运行在一个封闭的局域网内,那么可以不考虑网络攻击,拒绝服务,消息篡改,窃取等问题。但通常情况都接入互联网,那么我就得考虑信息安全问题,像前面那样直接将消息裸传,肯定不行。那么,我们就得给消息加密。CXF可以结合WSS4J来对消息安全进行管理,可以使用令牌,X.509认证对消息头或内容进行加密。这节我只对令牌加密做一个简单的描述,我们还以Demo的形式来讲解一下。
这个Demo是在CXF+Spring+Hibernate的基础修改而成。在这里我只针对修改的东西进行讲解。
Java代码 
<?xml version="1.0" encoding="UTF-8"?>   
<beans xmlns="http://www.springframework.org/schema/beans"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xmlns:jaxws="http://cxf.apache.org/jaxws"  
    xsi:schemaLocation="   
        http://www.springframework.org/schema/beans    
        http://www.springframework.org/schema/beans/spring-beans-2.0.xsd   
        http://cxf.apache.org/jaxws    
        http://cxf.apache.org/schemas/jaxws.xsd">   
    <import resource="classpath:META-INF/cxf/cxf.xml" />   
    <import resource="classpath:META-INF/cxf/cxf-extension-soap.xml" />   
    <import resource="classpath:META-INF/cxf/cxf-servlet.xml" />   


    <jaxws:endpoint id="service"  
        implementor="com.itdcl.service.ServiceImpl" address="/Service">   
        <jaxws:inInterceptors>   
            <bean   
                class="org.apache.cxf.interceptor.LoggingInInterceptor" />   
            <bean   
                class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />   
            <bean   
                class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">   
                <constructor-arg>   
                    <map>   
                        <entry key="action" value="UsernameToken" />   
                        <entry key="passwordType"  
                            value="PasswordText" />   
                        <entry key="user" value="cxfServer" />   
                        <entry key="passwordCallbackRef">   
                            <ref bean="serverPasswordCallback" />   
                        </entry>   
                    </map>   
                </constructor-arg>   
            </bean>   
        </jaxws:inInterceptors>   
    </jaxws:endpoint>   

    <bean id="serverPasswordCallback"  
        class="com.itdcl.ws.ServerPasswordCallback" />   

</beans>  

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:jaxws="http://cxf.apache.org/jaxws"
	xsi:schemaLocation="
		http://www.springframework.org/schema/beans 
		http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
		http://cxf.apache.org/jaxws 
		http://cxf.apache.org/schemas/jaxws.xsd">
	<import resource="classpath:META-INF/cxf/cxf.xml" />
	<import resource="classpath:META-INF/cxf/cxf-extension-soap.xml" />
	<import resource="classpath:META-INF/cxf/cxf-servlet.xml" />


	<jaxws:endpoint id="service"
		implementor="com.itdcl.service.ServiceImpl" address="/Service">
		<jaxws:inInterceptors>
			<bean
				class="org.apache.cxf.interceptor.LoggingInInterceptor" />
			<bean
				class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
			<bean
				class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
				<constructor-arg>
					<map>
						<entry key="action" value="UsernameToken" />
						<entry key="passwordType"
							value="PasswordText" />
						<entry key="user" value="cxfServer" />
						<entry key="passwordCallbackRef">
							<ref bean="serverPasswordCallback" />
						</entry>
					</map>
				</constructor-arg>
			</bean>
		</jaxws:inInterceptors>
	</jaxws:endpoint>

	<bean id="serverPasswordCallback"
		class="com.itdcl.ws.ServerPasswordCallback" />

</beans>


action:UsernameToken指使用用户令牌
passwordType:PasswordText指密码加密策略,这里直接文本
user:cxfServer指别名
passwordCallBackRef:serverPasswordCallback指消息验证

消息验证类:
Java代码 
package com.itdcl.ws;   

import java.io.IOException;   

import javax.security.auth.callback.Callback;   
import javax.security.auth.callback.CallbackHandler;   
import javax.security.auth.callback.UnsupportedCallbackException;   

import org.apache.ws.security.WSPasswordCallback;   

public class ServerPasswordCallback implements CallbackHandler {   

    public void handle(Callback[] callbacks) throws IOException,   
            UnsupportedCallbackException {   
        WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];   
        String pw = pc.getPassword();   
        String idf = pc.getIdentifier();   
        System.out.println("password:"+pw);   
        System.out.println("identifier:"+idf);   
        if (pw.equals("josen") && idf.equals("admin")) {   
            // 验证通过   
        } else {   
            throw new SecurityException("验证失败");   
        }   
    }   

}  

package com.itdcl.ws;

import java.io.IOException;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;

public class ServerPasswordCallback implements CallbackHandler {

	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
		String pw = pc.getPassword();
		String idf = pc.getIdentifier();
		System.out.println("password:"+pw);
		System.out.println("identifier:"+idf);
		if (pw.equals("josen") && idf.equals("admin")) {
			// 验证通过
		} else {
			throw new SecurityException("验证失败");
		}
	}

}


消息验证类通过实现CallbackHandler接口,实现handle方法来进行用户认证。

那么,客户端又怎样来验证消息是否确呢。
Java代码 
<?xml version="1.0" encoding="UTF-8"?>   
<beans xmlns="http://www.springframework.org/schema/beans"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xmlns:jaxws="http://cxf.apache.org/jaxws"  
    xsi:schemaLocation="   
        http://www.springframework.org/schema/beans    
        http://www.springframework.org/schema/beans/spring-beans-2.0.xsd   
        http://cxf.apache.org/jaxws    
        http://cxf.apache.org/schemas/jaxws.xsd">   

    <jaxws:client id="service"  
        address="http://localhost:9999/cxf/Service"  
        serviceClass="com.itdcl.service.IService">   
        <jaxws:outInterceptors>   
            <bean   
                class="org.apache.cxf.interceptor.LoggingOutInterceptor" />   
            <bean   
                class="org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor" />   
            <bean   
                class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">   
                <constructor-arg>   
                    <map>   
                        <entry key="action" value="UsernameToken" />   
                        <entry key="passwordType"  
                            value="PasswordText" />   
                        <entry key="user" value="cxfClient" />   
                        <entry key="passwordCallbackRef">   
                            <ref bean="clientPasswordCallback" />   
                        </entry>   
                    </map>   
                </constructor-arg>   
            </bean>   
        </jaxws:outInterceptors>   
    </jaxws:client>   

    <bean id="clientPasswordCallback"  
        class="com.itdcl.ws.ClientPasswordCallback" />   
</beans>  

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:jaxws="http://cxf.apache.org/jaxws"
	xsi:schemaLocation="
		http://www.springframework.org/schema/beans 
		http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
		http://cxf.apache.org/jaxws 
		http://cxf.apache.org/schemas/jaxws.xsd">

	<jaxws:client id="service"
		address="http://localhost:9999/cxf/Service"
		serviceClass="com.itdcl.service.IService">
		<jaxws:outInterceptors>
			<bean
				class="org.apache.cxf.interceptor.LoggingOutInterceptor" />
			<bean
				class="org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor" />
			<bean
				class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
				<constructor-arg>
					<map>
						<entry key="action" value="UsernameToken" />
						<entry key="passwordType"
							value="PasswordText" />
						<entry key="user" value="cxfClient" />
						<entry key="passwordCallbackRef">
							<ref bean="clientPasswordCallback" />
						</entry>
					</map>
				</constructor-arg>
			</bean>
		</jaxws:outInterceptors>
	</jaxws:client>

	<bean id="clientPasswordCallback"
		class="com.itdcl.ws.ClientPasswordCallback" />
</beans>


客户端在发送SOAP时对消息对认证,策略跟服务端一样。但是认证类有所区别:
Java代码 
package com.itdcl.ws;   

import java.io.IOException;   

import javax.security.auth.callback.Callback;   
import javax.security.auth.callback.CallbackHandler;   
import javax.security.auth.callback.UnsupportedCallbackException;   

import org.apache.ws.security.WSPasswordCallback;   

public class ClientPasswordCallback implements CallbackHandler {   

    public void handle(Callback[] callbacks) throws IOException,   
            UnsupportedCallbackException {   
        for(int i=0;i<callbacks.length;i++)   
        {   
             WSPasswordCallback pc = (WSPasswordCallback)callbacks[i];   
             pc.setPassword("josen");   
             pc.setIdentifier("admin");   
        }   
    }   

}  

package com.itdcl.ws;

import java.io.IOException;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;

public class ClientPasswordCallback implements CallbackHandler {

	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		for(int i=0;i<callbacks.length;i++)
        {
             WSPasswordCallback pc = (WSPasswordCallback)callbacks[i];
             pc.setPassword("josen");
             pc.setIdentifier("admin");
        }
	}

}


客户端在发送消息,设置好用户名和密码。服务端用相应的用户名和密码进行验证。
caiying0504
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Spring和CXFwebservice开发环境搭建
红豆和绿豆的博客
09-12 551
使用CXF发布webservice服务时,规范的做法是先书写一个接口,用以声明服务类型。 基于spring和CXF开发web service的框架搭建 一、创建web项目 Eclipse中新建一个dynamic webproject,命名为:CXFTest 二、导入需要的jar包 把下载的CXF项目的解压缩文件中lib文件夹下的所有jar包拷贝到WebContent-
Spring整合ApacheCXF实现WebService(基于jaxws
weixin_43472934的博客
11-15 889
1.服务端 1.1 创建maven web项目 1.2 pom.xml添加依赖 1.3 web.xml配置CXFServlet 1.4 服务接口、服务实现 1.5 Spring整合ApacheCXF 1.6 启动服务,发动服务 1.7 访问wsdl说明书 2.客户端 2.1 创建maven web项目 2.2 pom.xml添加依赖 2.3 添加service接口 2.4 Spring整合ApacheCXF配置 2.5 junit测试 ...
spring整合cxf 使用jax-ws规范实现webservice功能
健康平安的活着的专栏
06-28 1167
一.新建服务端 新建项目:spring-jax-ws-server 1.pom文件的编写: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.
Apache cxf JaxWs基本应用
小虾记事
03-29 808
本文以CXF 2.6.x为例,会用到jsr311.jar 。当前CXF最新版本为3.x,依赖jsr版本也有所不同,且Spring配置文件中也不再需要配置:。 在做版本升级时,需要留以上细节。 现在开始以CXF2.6.x做一些Demo。 一、首先我们搭建一个Maven Project,其中pom.xml完整内容如下: [html] view p
Apache CXF 简介
codepython的专栏
03-19 1439
 Apache CXF 简介 开放源代码的服务框架 本教程介绍了 Apache CXF 服务框架的基本知识,并通过讲解自带的例子来初步体验通过 CXF 进行服务的发布与消费;然后搭建基于 Eclipse 的 Apache CXF 开发环境,并通过一个“调查投票”示例应用程序来演示 CXF 整合 Spring 2.0 的基本开发过程。 1 评论: 俞 黎敏 (Y
java调用ws-security+CXF实现的webservice安全接口
08-31
5. **签名和加密**:如果需要更高级的安全性,ws-security还支持消息签名和加密。签名可以证明消息来源的真实性,加密则可以保护数据的隐私。在CXF中,你可以配置`WSS4JOutInterceptor`来添加这些功能。 6. **测试...
cxf+ws-security-JAR
08-31
综上所述,"cxf+ws-security-JAR"是针对Web服务安全调用的解决方案,通过Apache CXFWS-Security标准,为Web服务提供了强大的安全保障,确保了敏感数据的传输安全和用户身份的有效验证。这个JAR包很可能包含了一些...
Cxfwss4j实现ws-security的demo
08-22
CXF使用WSS4J实现WS-Security规范,本例的配置是Timestamp Signature Encrypt,具体使用可以参考我的博客http://blog.csdn.net/wangchsh2008/article/details/6708270
WebService CXF学习-入门.pdf
10-26
**WebService CXF 学习——入门** **一、WebService CXF 由来与目标** Apache CXF 是一个流行的开源框架,它源自 ObjectWeb Celtix 和 CodeHaus XFire 的合并,这两个项目分别由 IONA 公司和业界知名SOAP堆栈...
WebService-CXF学习.doc
最新发布
08-12
CXF支持多种标准,如JAX-WS、JSR-181、SAAJ、JAX-RS等,以及SOAP 1.1和1.2、WSDL 1.1等协议,并具备WS-SecurityWS-Addressing等企业级服务质量(QoS)功能。 CXF支持多种数据绑定和传输方式,如SOAP、REST/HTTP,...
使用Apache CXFApache Axis2实现Web Services客户端
zhangbeizhen18的博客
11-13 1906
记录:314 场景:在Spring Boot微应用上,使用Apache CXF框架实现Web Services客户端,调用Web Services服务端;使用Apache Axis2框架实现Web Services客户端,调用Web Services服务端。
cxf 配置文件服务器端,cxf整合spring实现webservice
weixin_31487533的博客
08-05 477
前面一文章中,webservice的服务端与客户端都是单独启动,但是在现实项目中,服务端单独启动太没有实际意义了,还是要整合框架启动,所以今天将记录如何整合spring框架。jar包下载地址如下:(一)、web.xml中添加spring与cxf的配置xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="h...
WebService简单入门(三) apache CXF入门
weixin_41110459的博客
06-30 282
  1.简介:  Apache CXF = Celtix + Xfire 支持多种协议: •    SOAP1.1,1.2 •    XML/HTTP •    CORBA(Common Object Request Broker Architecture公共对象请求代理体系结构,早期语言使用的WS。C,c++,C#) •    并可以与Spring进行快速无缝的整合 •    灵...
CXF 详解一
回首如梦
12-31 592
一、概述 Web Service是一种构建应用程序的普遍模型,可以在任何支持网络通信的操作系统中实施运行;它是一种新的webs应用程序分支,是自包含、自描述、模块 化的应用,可以发布、定位、通过web调用。Web Service是一个应用组件,它逻辑性的为其他应用程序提供数据与服务.各应用程序通过网络协议和规定的一些标准数据格式 (Http,XML,Soap)来访问Web Service,通过We...
cfx碰到http://cxf.apache.org/jaxws
mynameissipangzi的博客
08-27 930
1.问题:Unable to locate Spring NamespaceHandler for XML schema namespace [http://cxf.apache.org/jaxws] 2.加入:cxf-bundle-3.0.0-milestone2.jar
cxf 服务端soap报文_使用Apache CXF开发SOAP Web服务
最佳 Java 编程
06-09 1045
cxf 服务端soap报文 在上一文章中,我逐步介绍了使用apache CXF开发简单的RESTFull服务的步骤。 在本文中,我将讨论使用CXF开发SOAP Web服务。 在继续前进之前,让我们先了解一下构成SOAP Web服务的概念/元素 SOAP或简单对象访问协议 SOAP是一种协议,用于使用诸如http,smtp等应用程序协议作为载体在网络上交换基于XML的消息。 SOAP消息包...
CXF 的基本架构与原理
phy1997的博客
12-21 4202
Apache CXF 框架结构和基本原理 (2017-12-21 10:04:08) 转载▼ CXF旨在为服务创建必要的基础设施,它的整体架构主要由以下几个部分组成: 1.Bus 它是C X F架构的主干,为共享资源提供了一个可配置的场所,作用非常类似于S p r i ng的ApplicationContext。这些共享资源包括WSDL管理器、绑定工厂等。通过对Bus进行
根据wsdl接口通过Apache CXF生成客户端代码
qq_41687459的博客
02-28 1549
1、下载Apache CXF包,配置环境变量 下载链接:http://cxf.apache.org/download.html 在path环境变量中,加入bin目录,G:\tool\apache-cxf-3.3.5\bin, 验证环境变量是否配置成功,在dos窗口,输入wsdl2java 即可。 2、生成客户端代码 1、常用到的命令: wsdl2java -h 可以得到详细的...
Apache CXF框架详解:从WebService到ESB
此外,CXF还支持SAAJ(SOAP with Attachments API for Java)和一系列WS-*标准,如WS-SecurityWS-Addressing等,以实现安全、可靠的消息传递。 在数据绑定方面,CXF提供了JAXB2.x、Aegis、XMLBeans和SDO等多种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值