在AXIS下实现WS-Security的应用框架
待开发的应用开发框架基于Handler实现,将达到以下目标:此框架基于JAX-RPC环境下实现WS-Security应用,它可以部署到任何需要实现WS-Security的axis环境下的Web服务应用中,同时具体的应用程序不做任何编码修改。
由于此基于Handler实现,我们有必要回顾一下Handler的一些基础知识。
SOAP消息Handler能够访问代表RPC请求或者响应的SOAP消息。在JAX-RPC技术中,SOAP消息Handler可以部署在服务端,也可以在客户端使用。
SOAP消息Handler非常像Servlet技术中的Filter,它们共同的特点是请求发送到目标前,Handler/Filter可以截取这些请求,并对请求做一些处理,从而达到一些辅助的功能。多个Handler可以组成一个Handler链,链上的每个Handler都完成某个特定的任务。比如有的Handler进行权限验证,有的Handler进行日志处理等。关于Handler更详细的介绍,请参考本系列文章《 J2EE Web服务开发系列之六: 使用Handler来增强Web服务的功能》。
实现原理
图2 Handler结合WSSecurity实现Web服务安全的工作原理
处理流程如下:
1、 客户端(WSSClient)发出调用Web服务请求;
2、 客户端Handler(WSSecurityClientHandler)截获请求的SOAP消息;
3、 客户端Handler对截获的SOAP消息进行数字签名(使用client.keystore作为签名依据);
4、 客户端Handler对签名后的SOAP消息进行加密(使用RSA算法加密);
5、 被加密的SOAP消息通过互联网传送到目标Web服务端口;
6、 服务器端Handler(WSSecurityServerHandler)截获加密的SOAP消息;
7、 服务器端Handler对加密的SOAP消息进行解密;
8、 服务器端Handler对SOAP消息进行身份验证(server.truststore包含了所信任的身份信息),如果验证不通过,将抛出异常;
9、 服务器端Handler删除被解密后的SOAP消息中与WS-Security相关的元素;
10、 解密后的原始SOAP消息被发送到目标Web服务端口(如TaxService);
11、 目标Web服务对Web服务请求进行处理,然后返回响应的SOAP消息;
12、 服务器端Handler截获响应的SOAP消息;
13、 服务器端Handler对截获的SOAP消息进行数字签名(使用server.keystore作为签名依据);
14、 服务器端Handler对签名后的SOAP消息进行加密(使用RSA算法加密);
15、 被加密的SOAP消息通过互联网传送到目客户端;
16、 客户端Handler截获加密的SOAP消息;
17、 客户端Handler对加密的SOAP消息进行解密;
18、 客户端Handler对SOAP消息进行身份验证(client.truststore包含了所信任的身份信息),如果验证不通过,将抛出异常;
19、 客户端Handler删除被解密后的SOAP消息中与WS-Security相关的元素;
20、 被解密后的SOAP消息发送到目标客户端,客户端输出调用结果。
从上面可以看出,在一个SOAP调用回合中,要对SOAP消息进行四次处理。基本上都是"签名'加密'解密'验证"的过程
创建相关密匙库
客户端和服务端都有相关的密匙库,其中:
- client.keystore:客户端自身的身份信息;
- client.truststore:客户端所信任的身份信息,在此例中也就是包含了服务器的身份信息;
- server.keystore:服务器自身的身份信息;
- server.truststore:服务器所信任的身份信息(即客户端身份信息)。
你可以使用以下的批处理脚本创建上面四个密匙库。
签名、加密、解密、身份验证的实现
对SOAP消息的签名、加密、解密、身份验证都放在一个名为WSHelper.java的类中进行。
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
