Cxf Webservice安全认证

最新推荐文章于 2022-07-08 14:42:30 发布
最新推荐文章于 2022-07-08 14:42:30 发布
阅读量348 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_7611/article/details/82323252
版权

 在开发的时候发布webservice,为了安全通常需要安全验证,在CXF中的实现,在这里记录一下。

 

CXF是啥 我就不介绍了, 开发CXF+Spring的webservice服务:

 

 在这里发布一个简单的服务,比如发布的服务为SpingService

 

 写道
这里只是一个简单的接口,通过注解标注这是一个WebService接口:

import javax.jws.WebService;

@WebService
public interface SpringService {
String play(String info);
}

 

 

 

具体的实现类:

    写道

通过WebService注解中的endpointInterface指到刚才我定义的那个接口,发布出来的服务将会就是那个接口的样子:

import javax.jws.WebService;

@WebService(endpointInterface="cn.jd.ws.SpringService")
public class DotaSpringService implements SpringService{

public String play(String info) {
System.out.println("play called!");
return "Dota [ " + info + " ]";
}

}
 

 Spring中的配置:

  写道

<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:aop="http://www.springframework.org/schema/aop"
xmlns:jaxws="http://cxf.apache.org/jaxws"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/aop
http://www.springframework.org/schema/aop/spring-aop-2.5.xsd
http://cxf.apache.org/jaxws
http://cxf.apache.org/schemas/jaxws.xsd
">
需要插入jaxws这个库
 

 

 写道

在spring的配置文件中导入cxf包下的文件:
<import resource="classpath:META-INF/cxf/cxf.xml"/>
<import resource="classpath:META-INF/cxf/cxf-extension-soap.xml"/>
<import resource="classpath:META-INF/cxf/cxf-servlet.xml"/>

 

 

在spring中发布服务:

 

 写道
把我们刚才实现的服务发布出来:
<jaxws:endpoint id="dotaService" implementor="cn.jd.ws.DotaSpringService" address="/DotaService">
<jaxws:inInterceptors>
<ref bean="soapAuth"/>
</jaxws:inInterceptors>
</jaxws:endpoint>
参数implementor指定这个发布出来的WebService服务的实现类是哪个,address表示访问的地址,其中的拦截器就是我们需要将的那个安全验证的拦截器。稍后会介绍到。
<bean  id="soapAuth" class="cn.jd.ws.interceptor.SOAPAuthIntercepter"><property name="token" value="ssssdddd"></property></bean>
这里配置了一个令牌,当然为了安全最好是通过MD5等安全加密算法加密过的。为了简单直接搞了一个。

可能通过代码提示功能的我们都发现了还有一个发布服务的标签:

<jaxws:server id="" serviceClass="cn.jd.ws.DotaSpringService" address="/DataService">
<jaxws:inInterceptors>
<ref bean="soapAuth"/>
</jaxws:inInterceptors>
</jaxws:server>

那么endpoint和server这两种方式有啥区别?

 

 

 其实这两种方式就是刚学习发布第一个Webservice时可能编写的那两种方式的替换。

 

 写道
比如我们不通过Spring来简单发布一个Webservie,我们会这么做:
import javax.jws.WebParam;
import javax.jws.WebService;

@WebService
public interface HiService {
//to make sure the paramter is named correctly in the xml
String sayHi(@WebParam(name="text") String text);
}

实现:
import javax.jws.WebService;
import javax.xml.ws.Endpoint;

import org.apache.cxf.interceptor.LoggingInInterceptor;
import org.apache.cxf.jaxws.JaxWsServerFactoryBean;
/**
* A simple JAX-WS 规范的XML web services的JAVA API
*/
@WebService(endpointInterface="cn.jd.ws.HiService",serviceName="HiService")
public class HiServiceImpl implements HiService{

public static final String ENDPOINT = "http://localhost:9090/HiSerivice";

@Override
public String sayHi(String text) {
return "Hi " + text;
}

//这种方式就相当于是jaxws:endpoint
public void startServer() {
System.out.println("Starting the server");
HiServiceImpl hiService = new HiServiceImpl();
//通过Endpoint的方式直接就发布了
Endpoint.publish(ENDPOINT, hiService);
}

//这种方式就是jaxws:service方式
public void startServerNormal() {
      //这里利用的就是JaxWsServerFactoryBean
     JaxWsServerFactoryBean serverFactoryBean = new JaxWsServerFactoryBean();
     HiServiceImpl hiService = new HiServiceImpl();
    //服务类接口
    serverFactoryBean.setServiceClass(HiService.class);
   //设置地址
  serverFactoryBean.setAddress(ENDPOINT);
  serverFactoryBean.setServiceBean(hiService);
  serverFactoryBean.getInInterceptors().add(new LoggingInInterceptor());
  serverFactoryBean.create();
}

//发布服务
public static void main(String[] args) {
try {
  //能通过浏览器看到 是因为cxf自带了一个jetty服务器
  new HiServiceImpl().startServerNormal();
  System.out.println("发布服务成功");
}catch (Exception e) {
  System.out.println("发布服务失败");
}
}
}
 

 

然后就是配置CXFServlet的自启动:

 

 写道
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-config.xml</param-value></context-param>


<servlet>
<servlet-name>CXFServlet</servlet-name>
<servlet-class>org.apache.cxf.transport.servlet.CXFServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
<servlet-name>CXFServlet</servlet-name>
<url-pattern>/soap/*</url-pattern>
</servlet-mapping>

 

 

这些都是简单的配置,接下来就该编写我们的安全验证类了:

 

其实理解安全机制实现的原理很简单:

 

   就是客户端的每一次请求,都要带着请求头,而服务端就去解析请求头,看里面带的token是否跟预期的一致,如果一致就说明安全了,

否则就抛出异常不让调用。

 

   那么就有两个操作:

1.在客户端发送webservice调用以前,构造一个SOAP消息头,把token带过去

2.在服务端解析消息头,把指定的那个头字段解析出来,对比 两边的token是否相同

 

 

 

 

首先是服务器端:

 

   写道

public class SOAPAuthIntercepter extends AbstractPhaseInterceptor<SoapMessage>{

private SAAJInInterceptor saaIn = new SAAJInInterceptor();

private String namespaceURI = "http://test.com/auth";

private String localPart = "MyAuthHeader";

public SOAPAuthIntercepter() {
//在哪个阶段被拦截
super(Phase.PRE_PROTOCOL);
getAfter().add(SAAJInInterceptor.class.getName());
}

public void handleMessage(SoapMessage message) throws Fault {
System.out.println("=========>message:" + message);
if( !checkQnameHeader(message) && !checkMessageHeader(message)) {
throw new IllegalArgumentException("The Token wrong!");
}
}


**
* 校验指定的Qname头
* @param message
* @return
*/
private boolean checkQnameHeader(SoapMessage message) {
SoapHeader header = (SoapHeader)message.getHeader(new QName(namespaceURI, localPart));
if(header == null) {
return false;
}
ElementNSImpl ei = (ElementNSImpl) header.getObject();
String mytoken;
try {
mytoken = ei.getFirstChild().getFirstChild().getTextContent();
return mytoken.equals(token);
} catch (Exception e) {
throw new IllegalArgumentException("Method --> checkQnameHeader error",e);
}
}

/**
* 校验消息头
* @param message
* @return
*/
private boolean checkMessageHeader(SoapMessage message) {
try {
SOAPMessage mess = message.getContent(SOAPMessage.class);
if(mess == null) {
saaIn.handleFault(message);
mess = message.getContent(SOAPMessage.class);
}
//获得SOAPHeader
SOAPHeader head = mess.getSOAPHeader();
if(head == null) return false;

//获得这个名称的NodeList
NodeList nodes = head.getElementsByTagName(localPart);
if(nodes == null) return false;

//取出来判断是否相等
String mytoken = "";
for (int i = 0; i < nodes.getLength(); i++) {
mytoken += nodes.item(i).getTextContent();
}

return mytoken.equals(token);
} catch (Exception e) {
e.printStackTrace();
}
return false;
}

}
 

 

再就是客户端:

  写道




import javax.xml.namespace.QName;

import org.apache.cxf.binding.soap.SoapHeader;
import org.apache.cxf.binding.soap.SoapMessage;
import org.apache.cxf.binding.soap.interceptor.AbstractSoapInterceptor;
import org.apache.cxf.helpers.DOMUtils;
import org.apache.cxf.helpers.XMLUtils;
import org.apache.cxf.interceptor.Fault;
import org.apache.cxf.phase.Phase;
import org.w3c.dom.Document;
import org.w3c.dom.Element;

public class JdAuthOutInterceptor extends AbstractSoapInterceptor{

private AuthHeader authHeader;

public JdAuthOutInterceptor() {
super(Phase.WRITE); //在写之前
}

public void handleMessage(SoapMessage message) throws Fault {
//设定一个QName 这里的key就是localPart uri就是自定义的
QName qname = new QName(authHeader.getqName(), authHeader.getKey());
//构造一个XML
Document doc = DOMUtils.createDocument();

//创建给定的限定名称和名称空间 URI 的元素 这些操作都是jdk中的代码
Element authElement = doc.createElementNS(authHeader.getqName(),authHeader.getKey());
Element tokenElement = doc.createElement(authHeader.getToken());//令牌
tokenElement.setTextContent(authHeader.getTokenValue()); //设置值为
authElement.appendChild(tokenElement);


XMLUtils.printDOM(authElement);
//SOAP头 将有authElement元素组成
SoapHeader header = new SoapHeader(qname, authElement);
//把我们构造的这个头 添加到message中去
message.getHeaders().add(header);
}

public void setAuthHeader(AuthHeader authHeader) {
this.authHeader = authHeader;
}
}

 

构造一个SoapHeader对象:

 

  写道

import org.apache.commons.lang.StringUtils;

public class AuthHeader {

private final static String QNAME = "http://test.com/auth";
private String KEY = "MyAuthHeader";
private String TOKEN = "Token";

private String qName;
private String key;
private String token;
private String content;

public AuthHeader() {}

public String getqName() {
if(StringUtils.isEmpty(qName))
qName = QNAME;
return qName;
}

public void setqName(String qName) {
this.qName = qName;
}

public String getKey() {
if(StringUtils.isEmpty(key))
key = KEY;
return key;
}

public void setKey(String key) {
this.key = key;
}

public String getTokenValue() {
//令牌值
return content;
}

public String getToken() {
if(StringUtils.isEmpty(token)) {
token = TOKEN;
}
return token;
}

public void setToken(String token) {
this.token = token;
}

public void setContent(String content) {
this.content = content;
}
}

 

 

在Spring中配置一个客户端 ,启动服务后调用一下:

 

    写道

<bean id="mySoapAuth" class="cn.jd.ws.interceptor.JdAuthOutInterceptor">
<property name="authHeader" ref="authHeader"/>
</bean>

<!-- 客户端调用 -->
<jaxws:client id="dotaServiceClient" serviceClass="cn.jd.ws.SpringService" address="http://localhost:8080/Test/soap/DotaService">
<!-- 客户端outInterceptor 服务器端inInterceptor -->
<jaxws:outInterceptors>
<ref bean="mySoapAuth"/>
</jaxws:outInterceptors>
</jaxws:client>
 

 

 

 写道
public class SpringClientTest {

public static void main(String[] args) {
ApplicationContext context = new ClassPathXmlApplicationContext("spring-config.xml");
SpringService service = (SpringService)context.getBean("dotaServiceClient");
System.out.println(service.play(" 5人黑 呵呵!"));
}
}

 

 

运行后客户端输出结果:

  写道

<?xml version="1.0" encoding="utf-8"?><MyAuthHeader xmlns="http://test.com/auth"><Token>ssssdddd</Token></MyAuthHeader>
Dota [ 5人黑 呵呵! ]

 

 

iteye_7611
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CXF WebService带有拦截器
07-30
Web Service学习-CXF开发Web Service的权限控制(二)
SPRINGBOOT整合CXF发布WEB SERVICE和客户端调用(用户和密码验证)
最新发布
weixin_43844189的博客
11-09 464
springboot整合CXF发布web wervice和客户端调用(用户和密码验证)
Java WebService_cxf (2) 加密认证
江城宴的博客
02-07 6591
我们创建的webService服务要有安全性,不能被人随便调用,要有用户认证,在传输过程中还要加密。 Java WebService (1) 入门案例 中的创建的服务任何人都可以调用,这显然是不安全的,我们在入门案例基础上加入用户的认证。 服务器端: 将spring-cxf-service.xml修改成: <beans xmlns="http://www.springframe
cxf webservice身份验证
keeyce的专栏
12-21 5678
1:spring服务端的配置 Java代码    "Customer" class="org.web.HelloServiceImpl">  "custom"  implementor="#Customer"   address="/web" >                      class="org.apache.cxf.interceptor.LoggingIn
spring boot下使用JaxWsProxyFactoryBean来进行web service调用遇到的两个坑
Coder编程的博客
12-27 2856
1. 如果web service的wsdl地址不可用,那么spring boot无法正常启动 代码 @Configuration @Lazy @PropertySource(value = "classpath:application.properties",ignoreResourceNotFound = true) @PropertySource(value = "classpath:app...
SpringBoot使用cxf框架开发WebServices以及配置安全验证机制
wangxudongx的专栏
06-19 5151
SpringBoot使用cxf框架开发WebServices以及配置安全验证机制服务端工程服务接口的实现服务接口实现类服务发布类启动服务端客户端工程生成客户端代码编写客户端代码客户端调用代码测试客户端 CXF 继承了 Celtix 和 XFire 两大开源项目的精华,提供了对 JAX-WS 全面的支持,并且提供了多种 Binding 、DataBinding、Transport 以及各种 For...
CXF V3.2.4 实现的WebService调用(带安全认证
04-19
CXF V3.2.4 实现的WebService调用(带安全认证),项目下载后只需调整代码中服务器地址、用户名+密码后即可运行。
cxf入门例子(安全认证
09-18
包含服务器端和客户端,自己写的,能成功的运行,
cxfwebservice
10-08
CXFwebservice,密码校验、安全认证、日志处理。
CXF 2.4 WebService 发布和调用的身份验证和获取示例代码
10-14
1. 发布和调用WebService: 使用CXF2.4(http://cxf.apache.org)和spring 2. 调用安全性: 使用简单的USERNAME_TOKEN 3. 服务程序中取得调用者身份 ------------------------- 接口 ------------------------- intf....
针对cxf实现webservice服务访问的basic认证方式的实现
weixin_42863291的博客
08-06 1225
最近,写一个接口功能,对方系统为了实现接口的访问安全,使用了接口访问认证的方式:basic认证方式;查阅了资料,webservice中客户端代码中实现basic的认证方式的实现逻辑,实现方案如下:在生成的webservice客户端调用中插入如下代码: // 添加basc 认证 IhelloService service = new HelloServiceImplService().getHelloServiceImplPort(); BindingProvider bp = (BindingProvide
cxf实现webservice服务远程调用时访问验证
weixin_42863291的博客
12-26 623
最近,在维护一个比较老的ear项目!需要同其他系统进行业务数据的交互!考虑到项目比较老且项目本身就在使用webservice进行数据交互!故我还是使用webservice! 涉及到数据在网络系统传输,就会涉及到数据安全问题!特别是企业内部的数据信息!故而需要在访问soap时做一个访问前的登录认证cxf本身就自带访问验证模块!不需要我们从头写访问验证! 现在的项目使用的是spring框架,故我这...
SpringBoot整合CXF发布WebService接口,及动态调用(用户名和密码验证)
SuperSunnyBoy的博客
03-25 7251
服务端继承AbstractPhaseInterceptor<T>,来实现AuthInterceptor的权限控制功能
CXF+Spring+Tomcat开发webservice接口,并添加SSL双向认证
weixin_33919950的博客
07-30 226
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot整合webservice开发接口及调用,并添加安全认证
weixin_44195615的博客
05-10 2771
1、添加依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven
springboot CXF 调用webservice客户端https+ip时跳过认证
xiao466068504的博客
07-08 2256
JaxWsProxyFactoryBean
SpringBoot集成CXF完成webservice服务实例(包括用户验证)
lvhu123的博客
11-07 3676
最近接到了一个对外发布接口的需求,所以找到CXF写了一个简单例子仅供参考。考虑到方便调用,服务端数据采用JSONArray封装,这样不需要客户端创建相关实体类就可以拿到目标数据。 一、项目目录 二、pom.xml依赖引入 依赖查询:https://mvnrepository.com/ 注意: 依赖版本不同,代码也会有不同之处:springboot版本2.0.1,CXF版本3.2.4,...
CXF实战之自己定义拦截器(五)
weixin_34163741的博客
07-25 113
CXF已经内置了一些拦截器,这些拦截器大部分默认加入到拦截器链中,有些拦截器也能够手动加入,如手动加入CXF提供的日志拦截器。也能够自己定义拦截器。CXF中实现自己定义拦截器非常easy。仅仅要继承AbstractPhaseInterceptor或者AbstractPhaseInterceptor的子类(如AbstractSoapInterceptor)就可以。 自己定义...
cxf添加身份认证
heqinghua217的博客
09-02 4423
1、服务端配置,java部分 package com.huating.outinterface; import javax.xml.soap.SOAPException; import javax.xml.soap.SOAPHeader; import javax.xml.soap.SOAPMessage; import org.apache.cxf.binding.soap.SoapMess
springboot整合cxf webservice
11-07
SpringBoot整合CXF是一种实现Webservice服务端的技术,它可以让我们更加方便地实现Webservice服务端的开发。具体来说,它可以通过引入依赖和编写注解来实现Webservice服务端的发布和调用。在整合过程中,我们可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值