jax-ws之webservice security(安全)教程第二天

最新推荐文章于 2021-02-24 09:34:30 发布
最新推荐文章于 2021-02-24 09:34:30 发布
阅读量128 收藏
点赞数
文章标签: 运维 java

前言:

第一天里说了如何用jax-ws去结合ssh框架。

在今天的教程中将会向大家详细讲述一个ws-security中的一个传统的”基于handler”来认证客户端传来的用户名密码的webservice.

客户端传过来一对用户名和密码,服务端进行认证。

当然,我们此处说这个用户名和密码的传送,那可不是用下面的这种形式来传送的哦: http://xxx.do?username=xxx&password=xxx

我们这个用户名和密码是带在soap报文中的, jax-ws用一个handler专门用于处理soap报文的。

一、书写Handler

1. 1 handler

package ctsjavacoe.ws.fromjava;

import java.util.*;

import javax.servlet.http.HttpServletRequest;

import javax.xml.namespace.QName;

import javax.xml.soap.*;

import javax.xml.ws.handler.MessageContext;

import javax.xml.ws.handler.soap.*;

import javax.xml.ws.soap.SOAPFaultException;

import org.apache.cxf.transport.http.*;

public class AuthValidationHandler implements SOAPHandler<SOAPMessageContext> {

public Set<QName> getHeaders() {

// TODO Auto-generated method stub

return null;

}

public void close(MessageContext context) {

}

public boolean handleFault(SOAPMessageContext context) {

return false;

}

public boolean handleMessage(SOAPMessageContext context) {

HttpServletRequest request = (HttpServletRequest) context

.get(AbstractHTTPDestination.HTTP_REQUEST);

//

if (request != null) {

System.out.println("Client IP:" + request.getRemoteAddr());

} else {

System.out.println("get client ip is null>>>>>>>>>");

}

Boolean outbound = (Boolean) context

.get(MessageContext.MESSAGE_OUTBOUND_PROPERTY);

if (!outbound.booleanValue()) {

SOAPMessage soapMessage = context.getMessage();

try {

SOAPEnvelope soapEnvelope = soapMessage.getSOAPPart()

.getEnvelope();

SOAPHeader soapHeader = soapEnvelope.getHeader();

if (soapHeader == null)

generateSoapFault(soapMessage, "No Message Header...");

Iterator it = soapHeader

.extractHeaderElements(SOAPConstants.URI_SOAP_1_2_ROLE_NEXT);

if (it == null || !it.hasNext())

generateSoapFault(soapMessage,

"No Header block for role next");

Node node = (Node) it.next();

String value = node == null ? null : node.getValue();

if (value == null)

generateSoapFault(soapMessage,

"No authation info in header blocks");

String[] infos = value.split("&");

return authValidate(infos[0], infos[1]);

} catch (SOAPException e) {

e.printStackTrace();

}

}

return false;

}

private boolean authValidate(String userName, String password) {

if (userName == null || password == null) {

return false;

}

if ("admin".equals(userName) && "admin".equals(password)) {

return true;

}

return false;

}

private void generateSoapFault(SOAPMessage soapMessage, String reasion) {

try {

SOAPBody soapBody = soapMessage.getSOAPBody();

SOAPFault soapFault = soapBody.getFault();

if (soapFault == null) {

soapFault = soapBody.addFault();

}

soapFault.setFaultString(reasion);

throw new SOAPFaultException(soapFault);

} catch (SOAPException e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

}

}

上面这段代码看似很长,其实逻辑很简单,注意:

publicboolean handleMessage(SOAPMessageContext context)这个方法。

Handler会先检查,这个soap是in还是out,当然,对于我们来说要验证客户端提交上来的用户名和密码,因该是in。

因此,如果这个soap是in,并且含有soapheader(我们的用户名密码是含在soap header中的,可不是通过url以http://xxx.xxx.xxx/xxx.do?username=xxx&password=xxx这样的形式传输的哦,这样做是彻头彻尾的,不对的作法,和掩耳盗铃没啥区别),并且含有soap header,这个soap header中会提取出“username&password”这样的一个字符串,然后进行用户名和密码的比对与校验。


1.2handler类的XML描述

我们有了Handler类,还需要有一个handler的xml文件,对该类进行描述,这个xml文件和handler类放在同一层java的package下,该XML名为:handlers.xml,内容如下:

<?xml version="1.0" encoding="UTF-8"?>

<handler-chains xmlns="http://java.sun.com/xml/ns/javaee">

<handler-chain>

<handler>

<handler-name>authHandler</handler-name>

<handler-class>

ctsjavacoe.ws.fromjava.AuthValidationHandler

</handler-class>

</handler>

</handler-chain>

</handler-chains>

二、书写Webservice并引用handler

2.1 接口

package ctsjavacoe.ws.fromjava;

import javax.jws.WebMethod;

import javax.jws.WebService;

import javax.jws.soap.SOAPBinding;

import javax.jws.soap.SOAPBinding.Style;

@WebService

@SOAPBinding(style = Style.RPC)

public interface AuthorServer {

@WebMethod

public String sayHello(String name);

}

2.2 实现类

package ctsjavacoe.ws.fromjava;

import javax.jws.HandlerChain;

import javax.jws.WebService;

@WebService(endpointInterface = "ctsjavacoe.ws.fromjava.AuthorServer")

@HandlerChain(file = "handlers.xml")

public class AuthorServerImpl implements AuthorServer {

public String sayHello(String name) {

return "Hello: " + name;

}

}

核心是这一行:@HandlerChain(file= "handlers.xml")。

把它编译成webservice,然后发布工程到tomcat中去吧。

得到wsdl: http://localhost:8080/JaxWSSample/AuthorServerService?wsdl

我们用SOAPUI来调用这个webservice试试效果:

大家可以看到入到的output是:<faultstring>No Header blockfor role next</faultstring>

三、书写客户端

根据wsdl先得到相关的stub。

3.1 书写client端的handler类

package ctsjavacoe.ws.fromjava;

import java.util.Set;

import javax.xml.namespace.QName;

import javax.xml.soap.*;

import javax.xml.ws.handler.MessageContext;

import javax.xml.ws.handler.soap.SOAPHandler;

import javax.xml.ws.handler.soap.SOAPMessageContext;

public class ClientAuthenticationHandler implements SOAPHandler<SOAPMessageContext> {

public Set<QName> getHeaders() {

// TODO Auto-generated method stub

return null;

}

public void close(MessageContext arg0) {

// TODO Auto-generated method stub

}

public boolean handleFault(SOAPMessageContext arg0) {

// TODO Auto-generated method stub

return false;

}

public boolean handleMessage(SOAPMessageContext ctx) {

Boolean request_p = (Boolean) ctx

.get(MessageContext.MESSAGE_OUTBOUND_PROPERTY);

if (request_p) {

try {

SOAPMessage msg = ctx.getMessage();

SOAPEnvelope env = msg.getSOAPPart().getEnvelope();

SOAPHeader hdr = env.getHeader();

if (hdr == null)

hdr = env.addHeader();

QName qname_user = new QName("http://fromjava.ws.ctsjavacoe/",

"AuthorServerImplService");

SOAPHeaderElement helem_user = hdr.addHeaderElement(qname_user);

helem_user.setActor(SOAPConstants.URI_SOAP_1_2_ROLE_NEXT);

helem_user.addTextNode("admin&admin1");

msg.saveChanges();

//msg.writeTo(System.out);

return true;

} catch (Exception e) {

e.printStackTrace();

}

}

return false;

}

}

该handler类主要的核心方法为:

public booleanhandleMessage(SOAPMessageContext ctx)方法

该方法中需要注意的是:

QName qname_user = new QName("http://fromjava.ws.ctsjavacoe/",

"AuthorServerImplService");

SOAPHeaderElement helem_user = hdr.addHeaderElement(qname_user);

helem_user.setActor(SOAPConstants.URI_SOAP_1_2_ROLE_NEXT);

helem_user.addTextNode("admin&admin1");

msg.saveChanges();

我们通过上述的语句就已经知道我们会在客户端传过去一对用户名与密码,它们是:

username=admin

password=admin1

3.2 书写客户端

package ctsjavacoe.ws.fromjava;

import java.util.*;

import javax.xml.ws.handler.Handler;

import javax.xml.ws.handler.HandlerResolver;

import javax.xml.ws.handler.PortInfo;

public class AuthorServerClient {

public static void main(String[] args) {

AuthorServerImplService service = new AuthorServerImplService();

service.setHandlerResolver(new HandlerResolver() {

public List<Handler> getHandlerChain(PortInfo arg0) {

List<Handler> handlerList = new ArrayList<Handler>();

handlerList.add(new ClientAuthenticationHandler());

return handlerList;

}

});

AuthorServer authorService = service.getAuthorServerImplPort();

String msg = authorService.sayHello("MK");

System.out.println("rtn msg=====" + msg);

}

}


四、运行上述例子后出错啦?为什么?

运行后我们得到了如下的输出:


出错了?为什么?

我们回过头来看两个handler,一个是server端的handler,其中:

if ("admin".equals(userName) && "admin".equals(password)) {

return true;

}

一个是client的handler类,其中:

helem_user.addTextNode("admin&admin1");

啊。。。因为server端的密码要求是”admin”不是”admin1”,于是我们把client端的密码也改成”admin”,再次运行我们的客户端,得到输出:

完成第二天的教程



iteye_18451
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
纯SOAP动态调用Web Service API
The CSDN Blog With Matol Poet !
06-26 1443
package com.dotmailer; import java.io.FileReader; import javax.xml.soap.MessageFactory; import javax.xml.soap.MimeHeaders; import javax.xml.soap.Node; import javax.xml.soap.SOAPBody; import javax.xm
JAX-WS服务器端的SOAP处理程序
一名可爱的技术搬运工
05-25 327
SOAP处理程序是SOAP消息拦截器,它能够拦截传入或传出的SOAP消息并操纵其值。 例如,在客户端附加一个SOAP处理程序,它将为客户端发送的每个传出SOAP消息将客户端的计算机MAC地址注入SOAP标头块。 在服务器端,附加另一个SOAP处理程序,以从每个传入的SOAP消息中检索回SOAP标头块中的客户端MAC地址。 这样服务器端就可以确定允许哪台计算机访问已发布的服务。 本文分为三个部...
java soap消息_soap消息的分析和消息的创建和传递和处理
weixin_34548449的博客
02-24 431
@WebServicepublic interface IMyService {@WebResult(name="addResult")public int add(@WebParam(name="a")int a,@WebParam(name="b")int b);@WebResult(name="user")public User addUser(@WebParam(name="user")U...
webservice 服务端设置用户访问权限 登录密码
是你喜欢的草莓味的博客
01-16 2800
tomcat-user.xml 里面配置登录的用户密码 <role rolename="saploginuser"/> <user username="ykjt_admin" password="ykjt_123123" roles="saploginuser"/> 项目web.xml 里面配置用户验证方式 <security-constraint> <web-resource-collection> <http-method&g.
webservice连接验证用户名密码
shizhk_boke
05-10 4375
1.服务器端代码 @WebService public class CalculateService { public float plus(float x,float y) { return x + y ; } public float minus(float x,float y) { return x - y; } public float multiply...
jax-ws实现webservice调用
12-29
公司代码实现,简单的webservice服务 发布,实现客户端的调用。
JAX-WS_WebService.rar
09-06
JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用
jax-ws webservice demo
03-16
基于jax-ws 实现的web service client和server端的demo程序。 注:如果使用的是 myeclipse 时 server 部署到tomcat 启动的时候会报错 解决办法:找到myeclipse安装目录下的 plugins 目录里 查找 webservices-rt.jar,...
jax-ws发布webservice
08-01
以jdk1.6以上自带的jax-ws来发布webservice,压缩包里包含服务端和客户端,下载导入即可启动运行测试,有疑问的话欢迎咨询哈
MyEclipse基于JAX-WS开发Webservice+WebserviceClient客户端调用.zip
01-24
MyEclipse基于JAX-WS开发Webservice+WebserviceClient客户端调用.zip
WebService学习笔记系列之三----通过javax.xml.ws.Service的方式调用WebService
热门推荐
幸福小猪的专栏
12-19 2万+
在上一篇《》文章中讲解了通过wsimport的方式调用WebService。本文章学习使用javax.xml.ws.Service类来调用WebService。下面贴出调用的代码 import java.net.MalformedURLException; import java.net.URL; import javax.xml.namespace.QName; import com.op
JAX-WS中通过Handler操作SOAP消息
交换一个思想,能得到俩思想
05-26 8650
JAVA实现的Web service的客户端和服务器端都可以通过handler来实现对SOAP消息的访问,典型的应用可以用来保存SOAP消息(作为Log,或者在流程失败的时候重新发消息,或者操作SOAP header设定security信息等).Handler有两类,一种是用来访问整个SOAP消息的:SOAPHandler.另一种是用来访问SOAP消息的payload:LogicalHand
WebService从零到项目开发使用5—技术研究之JAX-WS快速入门
爪哇岛の成长日记
03-27 1393
JAX-WS 快速入门 1. JAX-WS 简介 1)        JAX-WS 2.0是一种新的开发模式。 2)        JAX-WS 提供了一套标准(基于标签模式)来简化Web服务和客户端的开发。 3)        JAX-WS 模式取代了JAX-RPC(Remote Procedure Call)的远程方法调用模式。 4)        JAX-WS 模式是策略编程模式,
SpringBoot整合WebServices(Apache CXF JAX-WS)(二)身份认证
阿瑟与非
01-24 695
一、简介 在使用WebService时我们经常会考虑WebService安全问题,可以通过一组用户名与密码来防止非法用户的调用 。 二、示例 代码沿用:https://blog.csdn.net/cs373616511/article/details/112754986 1.服务端 ...
1.webservice学习记录之JAXWS
q1193751379的博客
11-11 933
1、JAX-WS依赖 JAX-WS 2.3比JAX-RPC1.0定义了更多的规范,这些标准由以下规范支撑,JAX-RI 2.3.1提供了开发ws服务的工具和一些解决方案 JAXB提供java对象和xml对象的相互转化 SOAP 1.2 数据可按照soap协议进行拆封装 WSDL2.0 请求描述性语言,由服务端发布时生成,客户端依赖此描述文件,可生成客户端代码 A Metadata Facility for the Java Programming Language (JSR 175) Web Servic
CFX 和Spring 整合Ws Security 出现的问题?
topMan'blog
05-05 214
package com.easyway.cxf.security; import java.io.IOException;import java.util.HashMap;import java.util.Map; import javax.security.auth.callback.Callback;import javax.security.auth.callback.CallbackH...
CXF使用WSS4J实现WS-Security规范之使用用户名令牌
洪荒之地
10-21 4915
CXF使用WSS4J实现WS-Security规范之使用用户名令牌 这个示例是一个简单的UsernameToken,它仅仅包装明文用户名和密码. pom.xml:   www.ishang123.com   复制内容到剪贴板折叠XML/HTML 代码 project xmlns="http://maven.apache.org/PO
webService----wss4j+cxf实现WS-Security(基于UsernameToken)
mxdxm8899的专栏
10-23 690
分享一下wss4j+cxf基于UsernameToken的安全验证。名词解释:             cxf         : apache下的一个开源项目,用于发布webservice。      WSS4J  : Web Services Security for Java.  废话少说,直接上代码。    1. 首先,需要导入cxf中的所有jar包,及wss4j中的所有jar包与l...
jax-wswebservice security(安全教程第一天
lifetragedy的专栏
01-20 1万+
前言: 在前面的“5天学会jaxws-webservice教程”,我们讲了基本的jax-ws的使用。 Jax-ws是业界公认的标准的webservice,它已经成为了一个行业界标准,包括cxf,其实cxf也是调用的jax-ws为标准的基于spring的webservice框架。 同时,大家都知道世界上除了j2ee体系外,还存在.net体系,同时有过相关经验的同事们也知道用ws-securit
jax-ws_webservice服务端程序演示
最新发布
06-12
很抱歉,我作为一个语言模型AI无法给您演示实际的程序操作,但我可以为您提供一份简单的jax-ws_webservice服务端程序的示例代码,供您参考: ```java import javax.jws.WebMethod; import javax.jws.WebService; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值