一、概述
CXF 的 WS-Security 实现基于开放源码的 WSS4J 库。Axis2 代码也使用这个库,因此这两个堆栈的 WS-Security 配置细节有一些相似之处。但是,通过解释 WS-SecurityPolicy 配置 WSS4J 的代码层不一样。在 Axis2 中这由单独发布的 Rampart 模块处理,而在 CXF 中由 cxf-rt-ws-policy 和 cxf-rt-ws-security 模块处理(这些模块包含在标准的 cxf-#.jar 中,其中的 #是版本号)。
WS-Security提供了一些方法保证你的服务安全,常用的有以下方法:
①在两个服务之间传递授权标识。
②加密传递的信息或加密传递信息中重要部分。
③对传递的信息进行数字签名
④Timestamp messages
当前,CXF通过整合WSS4J实现WS-Security,为了能够使用这个整合,我们需要配置一些interceptors(拦截器)并且将他们安装到服务端或客户端。
二、WSS4J是什么?主要使用来做什么的?
WSS4J是一个OASIS Web服务安全实现,他是一个重要的Java库,主要用来签名和验证SOAP信息通过WS-Security信息。它主要的用途有:XML签名、XML加密和用户令牌(Username Tokens)、Timestamps、SAML Tokens。并且WSS4J支持X.509证书和证书路径。如果要想详细了解,请看他的doc: http://ws.apache.org/wss4j/api.html
常用方法简介:
①SOAPEnvelope数字签名:
②SOAPEnvelope加密:
③用户授权
④例子:
三、通过采用Spring XML 配置WSS4J拦截器(interceptors)实现
(1)授权服务
(2)数字签名服务
(3)加密服务
如果你的服务是通过Spring建立的,那么通过配置Spring XML文件很容易配置WSS4J拦截器。在CXF官方文档中讲解了两种配置方式,分别是原始的WS-Security配置和WS-SecurityPlolicy配置,其中WS-SecurityPolicy是WS-Security的替代品,他提供更简单更标准的方式配置security。并且在WS-Security中的后台元素在WS-SecurityPolicy中仍然有效,并且有时需要去了解。
WS-SecurityPolicy配置说明如下:
① ws-security.username—用户名(UsernameToken中应用)
②WS-Security.password—密码(UsernameToken中应用),如果没有指定,就会调用callback Handler。
③ws-security.callback-handler—WSS4J安全处理Handler,通常用来检索密码为Keystores或者为UsernameToken。
④ws-security.signature.properties—数字签名配置文件,通常用来配置签名的Keystore和密钥对象。
⑤ws-security.encryption.properties—加密配置文件。通常用来配置签名的Keystore和密钥对象。
⑥ws-security.signature.username—KeyStore中的密钥别名(用来进行签名)如果在Spring中没有配置,将会查找配置文件中的配置的别名,如果在配置文件中没有配置,并且在KeyStore中仅包含一个密钥,那么就会用这个密钥。
⑦ws-security.encryption.username-- KeyStore中的密钥别名(用来进行加密)如果在Spring中没有配置,将会查找配置文件中的配置的别名,如果在配置文件中没有配置,并且在KeyStore中仅包含一个密钥,那么就会用这个密钥。如果在服务器端设置为useReqSigCert,这表示应该使用请求签名所用的客户机证书对响应进行加密。使用这个设置让服务器代码可以处理多个客户机,每个客户机有自己的证书。
⑧ws-security.signature.crypto—代替签名配置文件,它能够指向密钥对象。它允许更容易的密钥信息配置方案。
⑨ws-security.encryption.crypto--代替加密配置文件,它能够指向密钥对象。它允许更容易的密钥信息配置方案
UsernameToken 是向 WS-Security 提供用户名和密码对的标准方法。可以以明文形式发送密码信息,也可以以散列值形式(经过加密处理)发送。它对于需要直接身份验证的许多应用程序很方便。
例子如下
Spring XML配置文件如下:
常用配置文件如下:
有关Spring中配置简介,例子如下
353
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
