CXF 入门:创建一个基于WS-Security标准的安全验证

最新推荐文章于 2021-03-12 21:55:12 发布
最新推荐文章于 2021-03-12 21:55:12 发布
阅读量1k 收藏
点赞数
分类专栏: WebService 文章标签: cxf webservice java

CXF 入门:创建一个基于WS-Security标准的安全验证

http://www.blogjava.net/zljpp/archive/2012/04/15/374371.html

以下是服务端配置

========================================================

一,web.xml配置,具体不在详述

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE web-app
    PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
    "http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
        <context-param>
                <param-name>contextConfigLocation</param-name>
                <!--ws-context.xml(必须)是cxf配置文件, wssec.xml可选,作用可以打印出加密信息类容 -->
                <param-value>WEB-INF/ws-context.xml,WEB-INF/wssec.xml</param-value>
        </context-param>

        <listener>
                <listener-class>
                        org.springframework.web.context.ContextLoaderListener
                </listener-class>
        </listener>

        <servlet>
                <servlet-name>CXFServlet</servlet-name>
                <display-name>CXF Servlet</display-name>
                <servlet-class>
                        org.apache.cxf.transport.servlet.CXFServlet
                </servlet-class>
                <load-on-startup>0</load-on-startup>
        </servlet>

        <servlet-mapping>
                <servlet-name>CXFServlet</servlet-name>
                <url-pattern>/services/*</url-pattern>
        </servlet-mapping>
</web-app>

 二,ws具体代码
简单的接口

 

import javax.jws.WebService;

@WebService()
public interface WebServiceSample {
        String say(String name);

}

接口具体实现类

public class WebServiceSampleImpl implements WebServiceSample {

        public String say(String name) {
                return "你好," + name;
        }
}

三,ws回调函数,必须实现javax.security.auth.callback.CallbackHandler

从cxf2.4.x后校验又cxf内部实现校验,所以不必自己校验password是否相同,但客户端必须设置,详情请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime  Changes片段

回调函数WsAuthHandler代码,校验客户端请求是否合法 ,合法就放行,否则拒绝执行任何操作

 

import java.io.IOException;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;
import org.apache.cxf.interceptor.Fault;
import org.apache.ws.security.WSPasswordCallback;
import org.apache.xmlbeans.impl.soap.SOAPException;

public class WsAuthHandler implements CallbackHandler {

        public void handle(Callback[] callbacks) throws IOException,
                        UnsupportedCallbackException {
                for (int i = 0; i < callbacks.length; i++) {
                        WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
                        String identifier = pc.getIdentifier();
                        int usage = pc.getUsage();
                        if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
                                // username token pwd...
                                // ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同
                                // 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
                                // Changes片段
                                pc.setPassword("testPassword");// ▲【这里非常重要】▲
                                // ▲PS 如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:
                                // The
                                // security token could not be authenticated or
                                // authorized异常,服务端会认为客户端为非法调用
                        } else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
                                // set the password for client's keystore.keyPassword
                                // ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验,不必自己比较password是否相同;
                                // 请参考:http://cxf.apache.org/docs/24-migration-guide.html的Runtime
                                // Changes片段
                                pc.setPassword("testPassword");// //▲【这里非常重要】▲
                                // ▲PS:如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:The
                                // security token could not be authenticated or
                                // authorized异常,服务端会认为客户端为非法调用
                        }
                        //不用做其他操作
                }
        }
}
 

 

四,CXF配置ws-context.xml:

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jaxws="http://cxf.apache.org/jaxws"
        xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd">

        <import resource="classpath:META-INF/cxf/cxf.xml" />
        <import resource="classpath:META-INF/cxf/cxf-extension-soap.xml" />
        <import resource="classpath:META-INF/cxf/cxf-servlet.xml" />
        <!-- 以上未基本配置,必须,位置在cxf jar中 -->
        <jaxws:endpoint id="webServiceSample" address="/WebServiceSample"
                implementor="com.service.impl.WebServiceSampleImpl">
                <!--inInterceptors表示被外部调用时,调用此拦截器 -->
                <jaxws:inInterceptors>
                        <bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
                        <bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
                                <constructor-arg>
                                        <map>
                                                <!-- 设置加密类型 -->
                                                <entry key="action" value="UsernameToken" />
                                                <!-- 设置密码类型为明文 -->
                                                <entry key="passwordType" value="PasswordText" />
                                                <!--<entry key="action" value="UsernameToken Timestamp" /> 设置密码类型为加密<entry 
                                                        key="passwordType" value="PasswordDigest" /> -->
                                                <entry key="passwordCallbackClass" value="com.service.handler.WsAuthHandler" />
                                        </map>
                                </constructor-arg>
                        </bean>
                </jaxws:inInterceptors>
        </jaxws:endpoint>
</beans>

 

 

CXF配置wssec.xml(可选),用于配置输出校验的具体信息

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:cxf="http://cxf.apache.org/core"
        xmlns:wsa="http://cxf.apache.org/ws/addressing" xmlns:http="http://cxf.apache.org/transports/http/configuration"
        xmlns:wsrm-policy="http://schemas.xmlsoap.org/ws/2005/02/rm/policy"
        xmlns:wsrm-mgr="http://cxf.apache.org/ws/rm/manager"
        xsi:schemaLocation="
       http://cxf.apache.org/core http://cxf.apache.org/schemas/core.xsd
       http://cxf.apache.org/transports/http/configuration http://cxf.apache.org/schemas/configuration/http-conf.xsd
       http://schemas.xmlsoap.org/ws/2005/02/rm/policy http://schemas.xmlsoap.org/ws/2005/02/rm/wsrm-policy.xsd
       http://cxf.apache.org/ws/rm/manager http://cxf.apache.org/schemas/configuration/wsrm-manager.xsd
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
        <cxf:bus>
                <cxf:features>
                        <cxf:logging />
                        <wsa:addressing />
                </cxf:features>
        </cxf:bus>
</beans>

 

服务端代码及配置到此结束!!!

 

=========================================================

=========================================================

以下是客户端配置,主要是回调函数,在客户端调用服务端前被调用,负责安全信息的设置

----------------------------------------------------------------------------------------

 

 

一,先实现回调函数WsClinetAuthHandler,同样必须实现javax.security.auth.callback.CallbackHandler

import java.io.IOException;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;
import org.apache.ws.security.WSPasswordCallback;

public class WsClinetAuthHandler implements CallbackHandler {

        public void handle(Callback[] callbacks) throws IOException,
                        UnsupportedCallbackException {
                for (int i = 0; i < callbacks.length; i++) {
                        WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
                        System.out.println("identifier: " + pc.getIdentifier());
                        // 这里必须设置密码,否则会抛出:java.lang.IllegalArgumentException: pwd == null
                        // but a password is needed
                        pc.setPassword("testPassword");// ▲【这里必须设置密码】▲
                }
        }
}
 

二,客户端调用代码:

 

import java.util.ArrayList;
import java.util.HashMap;
import java.util.Map;

import org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor;
import org.apache.cxf.jaxws.JaxWsProxyFactoryBean;
import org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor;
import org.apache.ws.security.WSConstants;
import org.apache.ws.security.handler.WSHandlerConstants;

import test.saa.client.WebServiceSample;
import test.saa.handler.WsClinetAuthHandler;

public class TestClient {

        public static void main(String[] args) {
                // 以下和服务端配置类似,不对,应该说服务端和这里的安全验证配置一致
                Map<String, Object> outProps = new HashMap<String, Object>();
                outProps.put(WSHandlerConstants.ACTION,
                                WSHandlerConstants.USERNAME_TOKEN);
                outProps.put(WSHandlerConstants.USER, "admin");
                outProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
                // 指定在调用远程ws之前触发的回调函数WsClinetAuthHandler,其实类似于一个拦截器
                outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,
                                WsClinetAuthHandler.class.getName());
                ArrayList list = new ArrayList();
                // 添加cxf安全验证拦截器,必须
                list.add(new SAAJOutInterceptor());
                list.add(new WSS4JOutInterceptor(outProps));

                JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean();
                // WebServiceSample服务端接口实现类,这里并不是直接把服务端的类copy过来,具体请参考http://learning.iteye.com/blog/1333223
                factory.setServiceClass(WebServiceSample.class);
                // 设置ws访问地址
                factory.setAddress("http://localhost:8080/cxf-wssec/services/WebServiceSample");
        //注入拦截器,用于加密安全验证信息
                factory.getOutInterceptors().addAll(list);
                WebServiceSample service = (WebServiceSample) factory.create();
                String response = service.say("2012");
                System.out.println(response);
        }
}

 客户端到此结束!!!!

========================================================================

#######################################################################

 

PS:客户端的另一种调用方式,主要通过配置文件,不过需要spring bean的配置文件(第一种就不用牵扯到spring的配置,比较通用吧!)

 

一,回调函数WsClinetAuthHandler不变,和上面一样
二,client-beans.xml安全验证配置文件,具体信息看注释,如下:

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jaxws="http://cxf.apache.org/jaxws"
        xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
http://cxf.apache.org/jaxws http://cxf.apache.org/schema/jaxws.xsd">
<!--这里无非是通过配置来替代JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean()创建代理并实例化一个ws-->
        <bean id="client" class="test.saa.client.WebServiceSample"
                factory-bean="clientFactory" factory-method="create" />
        <!-- 通过代理创建ws实例 -->
        <bean id="clientFactory" class="org.apache.cxf.jaxws.JaxWsProxyFactoryBean">
                <property name="serviceClass" value="test.saa.client.WebServiceSample" />
                <!-- ws地址,也可以是完整的wsdl地址 -->
                <property name="address"
                        value="http://localhost:8080/cxf-wssec/services/WebServiceSample" />
                <!--outInterceptors表示调用外部指定ws时,调用此拦截器 -->
                <property name="outInterceptors">
                        <list>
                                <bean class="org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor" />
                                <ref bean="wss4jOutConfiguration" />
                        </list>
                </property>
        </bean>

        <bean id="wss4jOutConfiguration" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
                <property name="properties">
                        <map>
                                <!-- 设置加密类型 ,服务端需要和这里的设置保持一致-->
                                <entry key="action" value="UsernameToken" />
                                <entry key="user" value="admin" />
                                <!-- 设置密码为明文 ,服务端需要和这里的设置保持一致-->
                                <entry key="passwordType" value="PasswordText" />
                                <!-- <entry key="action" value="UsernameToken Timestamp" /> <entry key="user" 
                                        value="adminTest" /> 设置密码类型为加密方式,服务端需要和这里的设置保持一致<entry key="passwordType" value="PasswordDigest" 
                                        /> -->
                                <entry key="passwordCallbackRef">
                                        <ref bean="passwordCallback" />
                                </entry>
                        </map>
                </property>
        </bean>
        <bean id="passwordCallback" class="test.saa.handler.WsClinetAuthHandler" />
</beans>

 
三,具体调用服务端代码:

 

import org.springframework.context.ApplicationContext;
import org.springframework.context.support.ClassPathXmlApplicationContext;

import test.saa.client.WebServiceSample;

public final class Client {

        public static void main(String args[]) throws Exception {
        //加载配置
                ApplicationContext context = new ClassPathXmlApplicationContext(
                                new String[] { "test/saa/client-beans.xml" });
        //获取ws实例
                WebServiceSample client = (WebServiceSample) context.getBean("client");
                String response = client.say("2012");
                System.out.println("Response: " + response);
        }
}

 
到此客户端第二种实现方式结束
GOOD LUCKY!!!
如有不明,请指教!!!





jienqiuqiu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CXF 入门创建一个基于WS-Security标准安全验证(CXF回调函数使用,)
C_sdn_000000的专栏
01-15 279
注意:以下客户端调用代码中获取服务端ws实例,都是通过CXF 入门: 远程接口调用方式实现   直入正题! 以下是服务端配置 ======================================================== 一,web.xml配置,具体不在详述 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;!DOCT...
cxf安全认证
好好学习
11-14 425
我们在使用Web Service的过程中,很多情况是需要对web service请求做认证的,特别涉及到外部系统的调用,那么cxf   的认证就显得的特别的重要。cxf认证大致可以分为:soapHeader认证WS-Security 校验等等。   A cxf中的soapheader认证。   基本的原理:客户端在soapHeader中添加header信息,在服务器端通过读取hea...
cxf 本地wsdl_CXF小窥:知道服务器端wsdl地址,如何本地测试服务接口
weixin_39865102的博客
12-19 290
今天boss给了一篇公司与短信平台公司合作的文档,让我测试一下是否真正常通信,以前项目中webservice都是其他同事在弄,今天头大了,查了一会资料,终于搞定了!现在记录一下文档上有WSDL:http://sms.28inter.com:8080/XXX/SmsService.asmx?wsdl这样一个wsdl地址现在在eclipse中新建javaProject,引入CXF相关的jar包下一步是...
cxf + spring 的WS-Security示例
jienqiuqiu的专栏
06-10 663
在按照网上的例子进行配置用户名令牌的例子,在server端的回调函数中获取的password 却一直是空,搜索了好半天,才找到(这个是MD5加密的): WSPasswordCallback 的passwordType属性和password 属性都为null,你只能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询其密码,然后再设置到password 属性,WSS
Cxf跳过Https安全认证
Clare Tung
03-16 5627
自定义类实现:ClientLifeCycleListener public class SkipSecurityAuthenticationListener implements ClientLifeCycleListener { @Override public void clientCreated(Client client) { if (client.getConduit()...
cxf入门文档
05-30
8. **安全认证**:理解WS-Security,学习配置CXF服务进行身份验证和加密。 9. **拦截器与扩展点**:利用CXF的拦截器机制增强服务功能,如日志、性能监控等。 10. **故障处理与调试**:理解CXF的异常处理机制,学会...
CXF入门实例
08-04
CXF入门实例】是一个基于Java的开源服务框架,它允许开发人员创建和消费Web服务。CXFCXF: The Apache CXF project is an open source services framework)旨在简化并加速构建SOAP、RESTful Web服务的过程。这个...
apache-cxf-3.0.6-src.tar
08-21
4. **安全特性**:CXF集成了多种安全机制,包括基本认证WS-Security、OAuth2等,确保Web服务的安全通信。 5. **模块化设计**:Apache CXF的模块化结构使得用户可以根据需求选择使用特定的组件,比如客户端API、...
cxf一个入门实例,用最新的cxf2.2.4开发的
11-25
这个入门实例是基于CXF 2.2.4版本,一个较旧但仍然具有教育意义的版本,可以帮助初学者理解如何使用CXF来创建Web服务。 在CXF 2.2.4中,主要关注的特性包括: 1. **JAX-WS支持**:CXF支持Java API for XML Web ...
cxf入门学习
04-16
2. **基本示例**:通常会有一个简单的"Hello World"服务示例,展示如何创建一个服务端点和服务客户端,以及如何运行和测试它们。 3. **源码分析**:可能包括一些CXF核心组件的源代码,如服务器端的Dispatcher、...
CXF WSSCEURITRY 身份认证demo
03-01
WEB service 使用cxf 包实现后的身份验证,使用wssecuriry
java的handleback类,java命名空间javax.security.auth.callback接口callbackhandler的类成员方法: handle定义及介绍...
weixin_42522131的博客
03-12 279
获取或显示在提供的 callback 中请求的信息。为了获取或显示请求的信息,handle 方法实现检查传入的 callback 对象的实例.下面提供的例子是对 handle 方法实现的示范。此例子代码只用来作为指导。为了简单起见,省去了很多细节(包括适当的错误处理)。public void handle(callback[] callbacks)throws ioexception, unsup...
浅谈spingmvc 整合CXF +ws-security 实现webservice安全验证
chrisjingu的专栏
08-31 9556
jar包:asm-3.3.1.jar xmlsec-1.5.8.jar xmlschema-core-2.1.0.jar woodstox-core-asl-4.4.1.jar wsdk4j-1.6.3.jar wss4j–1.6.19.jar wsdl4j.jar neethi-3.0.3.jar saaj.jar commons-discovery-0.2.jar commo
cxf实现的ws_client(带安全验证)
代码公的博客
09-20 4266
开发环境: apache-cxf-3.0.9 + jdk6.0 客户端java代码生成: wsdl2java + wsdlfile 问题描述 jdk6最高支持ws2.1规范版本,在jdk6下生成wsdl2java后要加上-frontend jaxws21 java类中含有中文注释,wsdl2java后要加上-encoding utf-8 客户端代码 package com
[转]cxf+spring实现ws-security的数字证书验证方式
u011626697的博客
09-03 188
第一步 生成可用的数字证书使用命令行打开您要生成数字证书的路径 生成证书还是比较麻烦的,要用到jdk的一个工具——keytool 首先,创建客户端KeyStore和公钥 在命令行运行: 1、创建私钥和KeyStore: keytool -genkey -alias clientprivatekey -keypass keypass -keystore Client_KeyStore.jks -...
Cxf Webservice安全认证
iteye_7611的博客
04-23 351
 在开发的时候发布webservice,为了安全通常需要安全验证,在CXF中的实现,在这里记录一下。   CXF是啥 我就不介绍了, 开发CXF+Spring的webservice服务:    在这里发布一个简单的服务,比如发布的服务为SpingService    写道 这里只是一个简单的接口,通过注解标注这是一个WebService接口:import javax.jws.WebS...
CXF密码验证_服务端和客户端配置
keeyce的专栏
12-21 5195
1:服务端spring里的配置: Java代码   "Customer" class="org.web.HelloServiceImpl">  lt;jaxws:endpoint  id="custom"  implementor="#Customer"   address="/web" >                     class="org.apache.cxf
spring集成cxf 带密码验证
YABAJ的专栏
08-08 1020
cxf版本 3.2.5 spring集成cxf所需jar包下载 cxf 3.2.5版本需要spring-beans-4.2.9.RELEASE.jar webservice服务端 接口声明 import javax.jws.WebService; import javax.jws.soap.SOAPBinding; import javax.jws.soap.SOAPBindi...
Java WebService_cxf (2) 加密认证
江城宴的博客
02-07 6644
我们创建的webService服务要有安全性,不能被人随便调用,要有用户认证,在传输过程中还要加密。 Java WebService (1) 入门案例 中的创建的服务任何人都可以调用,这显然是不安全的,我们在入门案例基础上加入用户的认证。 服务器端: 将spring-cxf-service.xml修改成: <beans xmlns="http://www.springframe
cxf noclassdeffounderror: javax/xml/ws/service
最新发布
09-08
JAX-WS是一种用于开发Web服务的Java标准javax/xml/ws/service包含了用于创建和管理Web服务的类和接口。 要解决这个错误,首先需要确保项目的构建路径中包含了所需的JAX-WS库。可以通过以下步骤操作: 1. 打开...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值