Apache CXF实战之六 创建安全的Web Service

最新推荐文章于 2019-04-22 17:37:06 发布
最新推荐文章于 2019-04-22 17:37:06 发布
阅读量1k 收藏
点赞数
分类专栏: CXF Rest 文章标签: CXF
CXF 同时被 2 个专栏收录
25 篇文章 0 订阅
订阅专栏
Rest
23 篇文章 1 订阅
订阅专栏

Apache CXF实战之六 创建安全的Web Service

分类: Java WebService CXF 2012-05-04 10:49 2561人阅读 评论(0) 收藏 举报
service apache web string interceptor callback

本文链接:http://blog.csdn.net/kongxx/article/details/7534035

Apache CXF实战之一 Hello World Web Service

Apache CXF实战之二 集成Sping与Web容器

Apache CXF实战之三 传输Java对象

Apache CXF实战之四 构建RESTful Web Service

Apache CXF实战之五 压缩Web Service数据

我们在使用Web Service的过程中,很多情况是需要对web service请求做认证的,对于运行在web容器里的应用程序来说,可能会比较简单一些,通常可以通过filter来做一些处理,但是其实CXF本身也提供了对web service认证的方式。下面来看一下如何实现

1. 首先是一个简单pojo

[java] view plain copy print ?
  1. package com.googlecode.garbagecan.cxfstudy.security;
  3. public class User {
  4. private String id;
  5. private String name;
  6. private String password;
  7. public String getId() {
  8. return id;
  9. }
  10. public void setId(String id) {
  11. this.id = id;
  12. }
  13. public String getName() {
  14. return name;
  15. }
  16. public void setName(String name) {
  17. this.name = name;
  18. }
  19. public String getPassword() {
  20. return password;
  21. }
  22. public void setPassword(String password) {
  23. this.password = password;
  24. }
  25. } 
package com.googlecode.garbagecan.cxfstudy.security;

public class User {
    private String id;
    private String name;
    private String password;
    public String getId() {
        return id;
    }
    public void setId(String id) {
        this.id = id;
    }
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
}
2. Web Service接口

[java] view plain copy print ?
  1. package com.googlecode.garbagecan.cxfstudy.security;
  3. import java.util.List;
  5. import javax.jws.WebMethod;
  6. import javax.jws.WebResult;
  7. import javax.jws.WebService;
  9. @WebService
  10. public interface UserService {
  11. @WebMethod
  12. @WebResult List<User> list();
  14. } 
package com.googlecode.garbagecan.cxfstudy.security;

import java.util.List;

import javax.jws.WebMethod;
import javax.jws.WebResult;
import javax.jws.WebService;

@WebService
public interface UserService {
    @WebMethod
    @WebResult List<User> list();

}
3. Web Service实现类

[java] view plain copy print ?
  1. package com.googlecode.garbagecan.cxfstudy.security;
  3. import java.util.ArrayList;
  4. import java.util.List;
  6. public class UserServiceImpl implements UserService {
  8. public List<User> list() {
  9. List<User> users = new ArrayList<User>();
  10. for (int i = 0; i < 10; i++) {
  11. User user = new User();
  12. user.setId("" + i);
  13. user.setName("user_" + i);
  14. user.setPassword("password_" + i);
  15. users.add(user);
  16. }
  17. return users;
  18. }
  20. } 
package com.googlecode.garbagecan.cxfstudy.security;

import java.util.ArrayList;
import java.util.List;

public class UserServiceImpl implements UserService {

    public List<User> list() {
        List<User> users = new ArrayList<User>();
        for (int i = 0; i < 10; i++) {
            User user = new User();
            user.setId("" + i);
            user.setName("user_" + i);
            user.setPassword("password_" + i);
            users.add(user);
        }
        return users;
    }

}
4. Server端Handler,其中使用了一个Map来存放用户信息,真是应用中可以使用数据库或者其它方式获取用户和密码

[java] view plain copy print ?
  1. package com.googlecode.garbagecan.cxfstudy.security;
  3. import java.io.IOException;
  4. import java.util.HashMap;
  5. import java.util.Map;
  7. import javax.security.auth.callback.Callback;
  8. import javax.security.auth.callback.CallbackHandler;
  9. import javax.security.auth.callback.UnsupportedCallbackException;
  11. import org.apache.ws.security.WSPasswordCallback;
  13. public class ServerUsernamePasswordHandler implements CallbackHandler {
  15. // key is username, value is password
  16. private Map<String, String> users;
  18. public ServerUsernamePasswordHandler() {
  19. users = new HashMap<String, String>();
  20. users.put("admin", "admin");
  21. }
  23. public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
  24. WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];
  25. String id = callback.getIdentifier();
  26. if (users.containsKey(id)) {
  27. if (!callback.getPassword().equals(users.get(id))) {
  28. throw new SecurityException("Incorrect password.");
  29. }
  30. } else {
  31. throw new SecurityException("Invalid user.");
  32. }
  33. }
  34. } 
package com.googlecode.garbagecan.cxfstudy.security;

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;

public class ServerUsernamePasswordHandler implements CallbackHandler {

    // key is username, value is password
    private Map<String, String> users;

    public ServerUsernamePasswordHandler() {
        users = new HashMap<String, String>();
        users.put("admin", "admin");
    }

    public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
        WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];
        String id = callback.getIdentifier();
        if (users.containsKey(id)) {
            if (!callback.getPassword().equals(users.get(id))) {
                throw new SecurityException("Incorrect password.");
            }
        } else {
            throw new SecurityException("Invalid user.");
        }
    }
}
5. Client端Handler,用来设置用户密码,在真实应用中可以根据此类和下面的测试类来修改逻辑设置用户名和密码。

[java] view plain copy print ?
  1. package com.googlecode.garbagecan.cxfstudy.security;
  3. import java.io.IOException;
  5. import javax.security.auth.callback.Callback;
  6. import javax.security.auth.callback.CallbackHandler;
  7. import javax.security.auth.callback.UnsupportedCallbackException;
  9. import org.apache.ws.security.WSPasswordCallback;
  11. public class ClientUsernamePasswordHandler implements CallbackHandler {
  12. public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
  13. WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];
  14. int usage = callback.getUsage();
  15. System.out.println("identifier: " + callback.getIdentifier());
  16. System.out.println("usage: " + callback.getUsage());
  17. if (usage == WSPasswordCallback.USERNAME_TOKEN) {
  18. callback.setPassword("admin");
  19. }
  20. }
  21. } 
package com.googlecode.garbagecan.cxfstudy.security;

import java.io.IOException;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;

public class ClientUsernamePasswordHandler implements CallbackHandler {
    public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
        WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];
        int usage = callback.getUsage();
        System.out.println("identifier: " + callback.getIdentifier());
        System.out.println("usage: " + callback.getUsage());
        if (usage == WSPasswordCallback.USERNAME_TOKEN) {
            callback.setPassword("admin");
        }
    }
}
6. 单元测试类,注意在Server端添加了WSS4JInInterceptor到Interceptor列表中,在Client添加了WSS4JOutInterceptor到Interceptor列表中。

[java] view plain copy print ?
  1. package com.googlecode.garbagecan.cxfstudy.security;
  3. import java.net.SocketTimeoutException;
  4. import java.util.HashMap;
  5. import java.util.List;
  6. import java.util.Map;
  8. import javax.xml.ws.WebServiceException;
  10. import junit.framework.Assert;
  12. import org.apache.cxf.endpoint.Client;
  13. import org.apache.cxf.endpoint.Endpoint;
  14. import org.apache.cxf.frontend.ClientProxy;
  15. import org.apache.cxf.interceptor.LoggingInInterceptor;
  16. import org.apache.cxf.interceptor.LoggingOutInterceptor;
  17. import org.apache.cxf.jaxws.JaxWsProxyFactoryBean;
  18. import org.apache.cxf.jaxws.JaxWsServerFactoryBean;
  19. import org.apache.cxf.transport.http.HTTPConduit;
  20. import org.apache.cxf.transports.http.configuration.HTTPClientPolicy;
  21. import org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor;
  22. import org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor;
  23. import org.apache.ws.security.WSConstants;
  24. import org.apache.ws.security.handler.WSHandlerConstants;
  25. import org.junit.BeforeClass;
  26. import org.junit.Test;
  28. public class UserServiceTest {
  30. private static final String address = "http://localhost:9000/ws/security/userService";
  32. @BeforeClass
  33. public static void setUpBeforeClass() throws Exception {
  34. JaxWsServerFactoryBean factoryBean = new JaxWsServerFactoryBean();
  35. factoryBean.getInInterceptors().add(new LoggingInInterceptor());
  36. factoryBean.getOutInterceptors().add(new LoggingOutInterceptor());
  38. Map<String, Object> props = new HashMap<String, Object>();
  39. props.put("action", "UsernameToken");
  40. props.put("passwordType", "PasswordText");
  41. props.put("passwordCallbackClass", ServerUsernamePasswordHandler.class.getName());
  42. WSS4JInInterceptor wss4JInInterceptor = new WSS4JInInterceptor(props);
  43. factoryBean.getInInterceptors().add(wss4JInInterceptor);
  45. factoryBean.setServiceClass(UserServiceImpl.class);
  46. factoryBean.setAddress(address);
  47. factoryBean.create();
  48. }
  50. @Test
  51. public void testList() {
  52. JaxWsProxyFactoryBean factoryBean = new JaxWsProxyFactoryBean();
  53. factoryBean.setAddress(address);
  54. factoryBean.setServiceClass(UserService.class);
  55. Object obj = factoryBean.create();
  57. Client client = ClientProxy.getClient(obj);
  58. Endpoint endpoint = client.getEndpoint();
  60. Map<String,Object> props = new HashMap<String,Object>();
  61. props.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
  62. props.put(WSHandlerConstants.USER, "admin");
  63. props.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
  64. props.put(WSHandlerConstants.PW_CALLBACK_CLASS, ClientUsernamePasswordHandler.class.getName());
  65. WSS4JOutInterceptor wss4JOutInterceptor = new WSS4JOutInterceptor(props);
  66. endpoint.getOutInterceptors().add(wss4JOutInterceptor);
  68. HTTPConduit conduit = (HTTPConduit) client.getConduit();
  69. HTTPClientPolicy policy = new HTTPClientPolicy();
  70. policy.setConnectionTimeout(5 * 1000);
  71. policy.setReceiveTimeout(5 * 1000);
  72. conduit.setClient(policy);
  74. UserService service = (UserService) obj;
  75. try {
  76. List<User> users = service.list();
  77. Assert.assertNotNull(users);
  78. Assert.assertEquals(10, users.size());
  79. } catch(Exception e) {
  80. if (e instanceof WebServiceException
  81. && e.getCause() instanceof SocketTimeoutException) {
  82. System.err.println("This is timeout exception.");
  83. } else {
  84. e.printStackTrace();
  85. }
  86. }
  87. }
  89. } 
package com.googlecode.garbagecan.cxfstudy.security;

import java.net.SocketTimeoutException;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

import javax.xml.ws.WebServiceException;

import junit.framework.Assert;

import org.apache.cxf.endpoint.Client;
import org.apache.cxf.endpoint.Endpoint;
import org.apache.cxf.frontend.ClientProxy;
import org.apache.cxf.interceptor.LoggingInInterceptor;
import org.apache.cxf.interceptor.LoggingOutInterceptor;
import org.apache.cxf.jaxws.JaxWsProxyFactoryBean;
import org.apache.cxf.jaxws.JaxWsServerFactoryBean;
import org.apache.cxf.transport.http.HTTPConduit;
import org.apache.cxf.transports.http.configuration.HTTPClientPolicy;
import org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor;
import org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor;
import org.apache.ws.security.WSConstants;
import org.apache.ws.security.handler.WSHandlerConstants;
import org.junit.BeforeClass;
import org.junit.Test;

public class UserServiceTest {

    private static final String address = "http://localhost:9000/ws/security/userService";
    
    @BeforeClass
    public static void setUpBeforeClass() throws Exception {
        JaxWsServerFactoryBean factoryBean = new JaxWsServerFactoryBean();
        factoryBean.getInInterceptors().add(new LoggingInInterceptor());
        factoryBean.getOutInterceptors().add(new LoggingOutInterceptor());

        Map<String, Object> props = new HashMap<String, Object>();
        props.put("action", "UsernameToken");
        props.put("passwordType", "PasswordText");
        props.put("passwordCallbackClass", ServerUsernamePasswordHandler.class.getName());
        WSS4JInInterceptor wss4JInInterceptor = new WSS4JInInterceptor(props);
        factoryBean.getInInterceptors().add(wss4JInInterceptor);
        
        factoryBean.setServiceClass(UserServiceImpl.class);
        factoryBean.setAddress(address);
        factoryBean.create();
    }

    @Test
    public void testList() {
        JaxWsProxyFactoryBean factoryBean = new JaxWsProxyFactoryBean();
        factoryBean.setAddress(address);
        factoryBean.setServiceClass(UserService.class);
        Object obj = factoryBean.create();
        
        Client client = ClientProxy.getClient(obj);
        Endpoint endpoint = client.getEndpoint();
        
        Map<String,Object> props = new HashMap<String,Object>();
        props.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
        props.put(WSHandlerConstants.USER, "admin");
        props.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
        props.put(WSHandlerConstants.PW_CALLBACK_CLASS, ClientUsernamePasswordHandler.class.getName());
        WSS4JOutInterceptor wss4JOutInterceptor = new WSS4JOutInterceptor(props);
        endpoint.getOutInterceptors().add(wss4JOutInterceptor);
        
        HTTPConduit conduit = (HTTPConduit) client.getConduit();
        HTTPClientPolicy policy = new HTTPClientPolicy();
        policy.setConnectionTimeout(5 * 1000);
        policy.setReceiveTimeout(5 * 1000);
        conduit.setClient(policy);
        
        UserService service = (UserService) obj;
        try {
            List<User> users = service.list();
            Assert.assertNotNull(users);
            Assert.assertEquals(10, users.size());
        } catch(Exception e) {
            if (e instanceof WebServiceException 
                    && e.getCause() instanceof SocketTimeoutException) {
                System.err.println("This is timeout exception.");
            } else {
                e.printStackTrace();
            }
        }
    }

}
最后运行上面的测试类来测试结果,也可以修改测试方法中的密码,看看错误结果,这里就不在写错误密码的测试用例了,因为我是一懒人。
大饼卷馒头蘸米饭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache CXF实战之四 构建RESTful Web Service
mm2zzyzzp的博客
11-12 117
Apache CXF实战之四 构建RESTful Web Service
实战Web Service —— 使用Apache CXF开发Web服务的教程
03-05
**实战Web ServiceApache CXF开发** Web服务是一种在互联网上进行通信的标准协议,它允许应用程序之间进行数据交换。Apache CXF是一个开源框架,用于构建和部署Web服务,支持多种Web服务标准,如SOAP、RESTful ...
Apache CXF实战之一 Hello World Web Service
qq_44943584的博客
04-22 70
Apache CXF实战之一 Hello World Web Service
Developing Web Services with Apache CXF and Axis2_3rd Edition
05-28
本书《开发Web服务:使用Apache CXF与Axis2》是针对希望学习如何使用Java创建Web服务的专业人士所编写的实用教程。作者Kent Kai Ok Tong以简明扼要的方式介绍了一系列复杂的Web服务标准和技术,并通过实际示例帮助...
实战Web+Service+with+CXF
04-21
实战Web+Service+with+CXF
yolo-fastest.zip
07-28
yolo-fastest
mysql安装配置教程.pdf
最新发布
07-28
MySQL的安装配置教程可以细分为以下几个步骤,这里以Windows系统为例进行说明: 一、下载MySQL 1.访问MySQL官网: 1.前往MySQL的官方网站(https://www.mysql.com/)下载MySQL Community Server。 2.选择下载版本: 1.在官网的Downloads页面,选择“MySQL Community (GPL) Downloads”下的“MySQL Installer for Windows”。 2.跳过注册步骤,直接下载MySQL安装包。 二、安装MySQL 1.运行安装包: 1.找到下载好的MySQL安装包文件,双击运行。 2.选择安装类型: 1.在安装向导中,选择安装类型(通常建议选择“Custom”进行自定义安装)。 2.选择操作系统的位数(如64位),并勾选“Enable the Select Features...”等选项(如果提示缺少运行库,需要先安装相应的VC_redist)。 3.设置安装路径: 1.选择MySQL的安装路径和数据存储路径,建议将MySQL安装在非系统盘(如D盘)以避免潜在的问题。 4.设置密码:
基于transformers+pytorch实现非结构化商业文本信息中隐私信息识别python源码(比赛获奖项目).zip
07-28
基于transformers+pytorch实现非结构化商业文本信息中隐私信息识别python源码(比赛获奖项目).zip CCF大数据与计算智能大赛-非结构化商业文本信息中隐私信息识别方案 bert base + flat + crf + fgm + swa + pu learning策略 + clue数据集 = test1单模0.906 词向量:https://github.com/Embedding/Chinese-Word-Vectors SGNS(Mixed-large 综合) loss mask相关代码为pu learning策略的实现 主要模块版本 python 3.6.9 torch 1.1.0 transformers 3.0.2 pytorchcrf 1.2.0 torchcontrib 0.0.2 主要功能点 使用BERT base作为基础模型 采用flat结构进行命名实体识别 使用CRF层进行序列标注 采用对抗训练(FGM)和平滑权重平均(SWA)策略提高模型泛化能力 使用PU learning策略处理标注不全的数据 利用clue数据集进行训练
(verilog)基于MIPS指令集的单周期CPU设计
07-28
相关代码及Vivado项目工程文件
基于优化随机森林的对地攻击无人机自主作战效能评估_邵明军 - 副本.pdf
07-28
基于优化随机森林的对地攻击无人机自主作战效能评估_邵明军 - 副本
餐饮咖啡西餐厅饮品创业计划书运营策划书.doc
07-28
商业计划书,创业计划书,项目计划书,计划书模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
1_软错误失效对CANFD Transceiver芯片的影响分析.docx
07-28
1_软错误失效对CANFD Transceiver芯片的影响分析.docx
tour-project【程序员VIP专用】.zip
07-28
【项目简介】 HTML5+CSS实现雪花旅行社
复制文件子目录文件名称WIDOWS.BAT
07-28
复制文件到子目录下WIDOWS.BAT
wsad上下左右0000000000000
07-28
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
开题报告大学问卷调研系统设计与实现 已通过开题答辩的.doc
07-28
随着信息技术的快速发展,大学问卷调研系统在教育领域中得到了广泛应用。国内许多高校已经开始使用问卷调研系统进行学生满意度调查、教师评估、课程反馈等各类调研工作。这些系统通过在线平台提供问卷设计、数据收集和分析等功能,极大地提高了调研的效率和准确性。一些高校还开展了基于大数据和人工智能的问卷调研研究,探索如何利用先进的技术手段提升调研结果的可靠性和实用性。国内有多个学者对大学问卷调研系统进行了研究,其中刘江桥(2023)认为本报告通过对重庆市160户工业企业的问卷调研,分析了新型工业化投融资高质量发展面临的短板弱项。主要问题包括融资难、融资贵、投资效益低、创新能力不足等。为解决这些问题,建议政府加大对中小企业的金融支持力度,优化投资环境,提高企业创新能力,加强与金融机构的合作,推动产业结构调整和升级。[1] 周伟(2023)认为本研究通过对中职英语课程思政建设现状的调研分析,发现存在课程内容与实际需求脱节、教学方法单一、教师队伍建设不足等问题。为提高中职英语课程思政建设质量,提出以下对策:一是优化课程设置,紧密结合学生实际需求;二是创新教学方法,提高学生参与度;三是加强师资培训,提升教师队
Scratch 模拟操作游戏:风瀑消防局.sb3
07-28
使用大量车辆和大地图在虚构的北卡罗来纳州温德福尔斯乡村小镇扑灭火灾。从小型汽车火灾到肆虐的灌木丛火灾,随时都可能发生。 游戏操作指导书: 【Code-4 按钮】结束火警呼叫 【鼠标单击】交互 / 使用工具 / 进入梯子 / 放置风扇 【箭头键(←→) / AD】移动,驾驶 【S / 箭头键(↓)】刹车 / 放下梯子 / 蹲下 【W / 箭头键(↑)】抬起梯子 / 蹲下 【E】进入车辆/拿起风扇 【鼠标指针悬停在门上时按 E】打开门,进入门内房间 【空格键】退出车辆 / 退出梯子 【C】打开库存背包 【1 ~ 4】选择工具 【X / C / Z】使用车辆警报器 【M】打开地图 【Q】进行通知 【L】打开前灯 【H】播放喇叭 【V】部署蹲下 / 部署推土机。 SJA 分析数据: · 代码数量: 代码总数:8710 ,有效代码:8320 ,代码块:684 ; · 高级编辑: 扩展种类:0 ,函数定义:0 ,变量 & 列表定义:92 ; · 资源数量: 角色数:54 ,造型数量:572 ,音频数量:87 ; · 资源大小: 工程大小:85.9MB ,音频大小:69.5MB ,造型大小:1
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
Apache CXF开发:Web Service实战与SSL增强
Apache CXF开发使用指南是一份针对Java开发者详细介绍如何利用Apache CXF框架创建和管理Web Services的实用文档。Web Service作为RPC(Remote Procedure Call)的一种扩展,它采用XML格式,相比传统的二进制RPC,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值