利用spring security 给cxf的业务方法添加保护

最新推荐文章于 2022-04-29 14:38:12 发布
最新推荐文章于 2022-04-29 14:38:12 发布
阅读量256 收藏
点赞数
文章标签: Security Spring Acegi Java XML
做一个简单的记录。spring security2.0目前不支持spring2.5
为cxf添加两个Interceptor
以basic auth的方式进行认证,这个Interceptor是获取用户名和密码,构造Authentication对象添加到SecurityContextHolder中, 

public class SecurityInInterceptor extends AbstractPhaseInterceptor<Message>{
	private static Log logger = LogFactory.getLog(SecurityInInterceptor.class);

	private AuthenticationManager authenticationManager;

    public void setAuthenticationManager(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

	public SecurityInInterceptor() {
		super(Phase.INVOKE);
	}

	public void handleMessage(Message message) throws Fault {
		String baseAuth = null;
		Map<String, List<String>> reqHeaders = CastUtils.cast((Map<?,?>)message.get(Message.PROTOCOL_HEADERS));
		if (reqHeaders != null) {
           for (Map.Entry<String, List<String>> e : reqHeaders.entrySet()) {
        	   if("Authorization".equalsIgnoreCase(e.getKey()))
        		   baseAuth = e.getValue().get(0);
           }
		}
        if ((baseAuth != null) && baseAuth.startsWith("Basic ")) {
            byte[] base64Token;
            String username = "";
            String password = "";
			try {
				base64Token = baseAuth.substring(6).getBytes("UTF-8");
				String token = new String(Base64.decodeBase64(base64Token), "UTF-8");

	            int delim = token.indexOf(":");
	            if (delim != -1) {
	                username = token.substring(0, delim);
	                password = token.substring(delim + 1);
	            }
	            Authentication authResult = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(
	            		username, password));
                if (logger.isDebugEnabled()) {
                    logger.debug("Authentication success: " + authResult.toString());
                }
                SecurityContextHolder.getContext().setAuthentication(authResult);
			}
            catch (AuthenticationException failed) {
                if (logger.isDebugEnabled()) {
                    logger.debug("Authentication request for user '" + username + "' failed: " +
                            failed.toString());
                }
                SecurityContextHolder.clearContext();
                throw new Fault(failed);
			} catch (Exception e) {
				SecurityContextHolder.getContext().setAuthentication(null);
				throw new Fault(e);
			}
        }
	}

}



清空SecurityContextHolder 

public class SecurityOutInterceptor extends AbstractPhaseInterceptor<Message>{

	public SecurityOutInterceptor() {
		super(Phase.SEND);
	}

	public void handleMessage(Message message) throws Fault {
		SecurityContextHolder.clearContext();
	}
}


下面是两种配置方式: 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	     xmlns:aop="http://www.springframework.org/schema/aop"
	     xmlns:tx="http://www.springframework.org/schema/tx"
	     xmlns:jee="http://www.springframework.org/schema/jee"
		 xmlns:sec="http://www.springframework.org/schema/security"
	     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
           http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-2.0.xsd
           http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-2.0.xsd
           http://www.springframework.org/schema/jee http://www.springframework.org/schema/jee/spring-jee-2.0.xsd
		   http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">

    <aop:config>
        <aop:pointcut id="HelloWorldAOP"
                      expression="execution(* com.javaeye.springSecurity.HelloWorld+.*(..))"/>
        <aop:advisor advice-ref="methodSecurityInterceptor" pointcut-ref="HelloWorldAOP"/>
    </aop:config>

    <!-- ======================== ACEGI AUTHENTICATION ======================= -->

    <bean id="authenticationManager" class="org.springframework.security.providers.ProviderManager">
        <property name="providers">
            <bean class="org.springframework.security.providers.dao.DaoAuthenticationProvider">
                <property name="userDetailsService" ref="userDetailsService"/>
            </bean>
        </property>
    </bean>

	<bean id="userDetailsService" class="org.springframework.security.userdetails.memory.InMemoryDaoImpl">
		<property name="userMap">
	    	<value>
	        	admin=admin,ROLE_ADMIN
	        	melin=123456,ROLE_USER
	      	</value>
	    </property>
	</bean>

	<bean class="org.springframework.security.event.authentication.LoggerListener"/>
	<bean class="org.springframework.security.event.authorization.LoggerListener"/>

    <!-- ======================== ACEGI AUTHORIZATION =========================== -->

	<bean id="objectDefinitionSource" class="org.springframework.security.annotation.SecuredMethodDefinitionSource" />

	<bean id="methodSecurityInterceptor"
		class="org.springframework.security.intercept.method.aopalliance.MethodSecurityInterceptor">
	   <property name="validateConfigAttributes"><value>false</value></property>
	   <property name="authenticationManager"><ref bean="authenticationManager"/></property>
	   <property name="accessDecisionManager">
            <bean class="org.springframework.security.vote.AffirmativeBased">
                <property name="decisionVoters">
                    <bean class="org.springframework.security.vote.RoleVoter"/>
                </property>
            </bean>
        </property>
	   <property name="objectDefinitionSource"><ref bean="objectDefinitionSource"/></property>
	</bean>
</beans>


使用security的namespace 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	     xmlns:aop="http://www.springframework.org/schema/aop"
	     xmlns:tx="http://www.springframework.org/schema/tx"
	     xmlns:jee="http://www.springframework.org/schema/jee"
		 xmlns:sec="http://www.springframework.org/schema/security"
	     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
           http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-2.0.xsd
           http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-2.0.xsd
           http://www.springframework.org/schema/jee http://www.springframework.org/schema/jee/spring-jee-2.0.xsd
		   http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">


	<sec:global-method-security secured-annotations="enabled">
	</sec:global-method-security>

    <sec:http>
		<sec:http-basic/>
    </sec:http>

    <sec:authentication-provider>
        <sec:user-service>
            <sec:user name="admin" password="admin" authorities="ROLE_SUPERVISOR, ROLE_USER, ROLE_TELLER" />
	        <sec:user name="melin" password="123456" authorities="ROLE_USER,ROLE_TELLER" />
	    </sec:user-service>
	</sec:authentication-provider>
</beans>


实例在附件中,添加jar包,就可以运行!
直接运行ServerJetty.java可以启动jetty服务器方便运行
melin1204
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring身份验证+CXF拦截器+RESTful
owen_william的博客
04-24 1550
1.说明      在项目开发过程中,可能读者会有这样的需求,那就是你需要提供接口供第三方系统来获取你们系统某个业务的信息。这样的需求其实是在支付系统会更为常见。笔者曾经做过某大型公司的支付系统的接口。我们需求提供大量的接口来供第三方系统来调用。这些接口的返回信息可以是json的格式,亦可是xml的。可能说了这么多,无非就是java中的一门技术,叫RESTful。笔者在博客已经写过SpringM
嵌入式Jetty和Apache CXF:借助Spring Security保护REST服务
最佳 Java 编程
05-24 177
最近,我遇到了一个非常有趣的问题,我认为这只需几分钟即可解决:在Linux中使用Spring Security (当前稳定版本3.2.5 )保护Apache CXF (当前版本3.0.1 )/ JAX-RS REST服务。在嵌入式Jetty容器(当前版本9.2 )中运行的应用程序。 最后,一旦您了解了事物如何协同工作并了解了细微的内在细节,这将变得非常容易。 这篇博客文章将试图揭示这一点。 ...
cxf + spring 的WS-Security示例
jienqiuqiu的专栏
06-10 663
在按照网上的例子进行配置用户名令牌的例子,在server端的回调函数中获取的password 却一直是空,搜索了好半天,才找到(这个是MD5加密的): WSPasswordCallback 的passwordType属性和password 属性都为null,你只能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询其密码,然后再设置到password 属性,WSS
jetty嵌入式容器_嵌入式Jetty和Apache CXF:借助Spring Security保护REST服务
最佳 Java 编程
06-16 124
jetty嵌入式容器 最近,我遇到了一个非常有趣的问题,我认为这只需要几分钟就可以解决:在Linux中使用Spring Security (当前稳定版本3.2.5 )保护Apache CXF (当前版本3.0.1 )/ JAX-RS REST服务。在嵌入式Jetty容器(当前版本9.2 )中运行的应用程序。 最后,一旦您了解了事物如何协同工作并了解了细微的内在细节,这将变得非常容易。 这篇博客...
spring3.0.7与cxf2.7.4整合jar包
03-24
你可以配置Spring的安全框架,如AcegiSpring Security,来保护你的CXF服务。同时,通过声明式事务管理,可以确保服务操作的原子性和一致性。 5. **使用CXF客户端**: 如果需要从其他地方调用这个服务,Spring也...
springboot_cxf_security
11-13
总的来说,"springboot_cxf_security"项目展示了如何在Spring Boot环境下,利用CXF实现Web服务功能,同时结合Spring Security来保障应用的安全性,以及如何同时支持MVC模式来处理用户交互。这个项目为开发者提供了一...
webservice cxf+spring+WS-security配置示例
忽而的专栏
09-01 845
先选择需要用到的JAR包,由于使用到的项目中
spring security,mybatis,spring mvc 整合权限管理系统
07-28
spring security,mybatis,spring mvc 整合权限管理系统
2.CXF安全访问之Http Basic Auth(一)
04-19
NULL 博文链接:https://wangwengcn.iteye.com/blog/1879381
浅谈spingmvc 整合CXF +ws-security 实现webservice安全验证
chrisjingu的专栏
08-31 9556
jar包:asm-3.3.1.jar xmlsec-1.5.8.jar xmlschema-core-2.1.0.jar woodstox-core-asl-4.4.1.jar wsdk4j-1.6.3.jar wss4j–1.6.19.jar wsdl4j.jar neethi-3.0.3.jar saaj.jar commons-discovery-0.2.jar commo
Dianthus(三) Springboot整合webservice+SpringSecurity伪单点登录
HM_1011000000的博客
05-04 810
有时候需要和老系统做一些的数据同步,如组织用户同步接口等。由于老系统使用的axis2的方式发布的webservice,所以我有做了一个基于axis发布的webservice项目 发布Webservice 1.准备工作 配置文件加入需要同步的webservice 信息 #平台登录url platform_user_webserver_url=http://192.142.24.94/newl...
CXF实战之WS-Security(八)
达拉斯母牛
08-03 6490
Web-Security概述WS-Security(Web服务安全)是一种提供在Web Service上应用安全的方法的网络传输协议,协议包含了关于如何在Web Service消息上保证完整性和机密性的规约。WS-Security描述了如何将签名和加密头加入SOAP消息。除此以外,还描述了如何在消息中加入安全令牌,包括二进制安全令牌,如X.509认证证书和Kerberos门票(ticket)。WS-
cxf+spring实现ws-security的数字证书验证方式的记录(包括生成证书步骤)
学而不思
07-28 2408
第一步 生成可用的数字证书 使用命令行打开您要生成数字证书的路径 生成证书还是比较麻烦的,要用到jdk的一个工具——keytool  首先,创建客户端KeyStore和公钥  在命令行运行:  1、创建私钥和KeyStore: keytool -genkey -alias clientprivatekey -keypass keypass -keystore Client_KeyS
使用 Spring4 + CXF3 + WS-Security 开发 WebService
kandigx的博客
09-21 3203
使用 cxf + spring 开发WebService,使用 WS-Security 对数据进行签名及加密
Spring Cloud Open Feign系列【23】OAuth2FeignRequestInterceptor、BasicAuthRequestInterceptor拦截器解析
记录知识、锤炼自我
04-29 2685
有道无术,术尚可求,有术无道,止于术。 资料整理来自网络 文章目录BasicAuthRequestInterceptorBasic 认证使用案例 BasicAuthRequestInterceptor BasicAuthRequestInterceptor翻译过来就是 Basic 认证请求拦截器。 Basic 认证 Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 比如Security 就.
SOAP WebService以CXF实现WS-Securityxml签名及加密
学习记录和开发记录
11-08 1140
接上篇,记录一下使用apache cxfspring使用自签名数字证书实现WebService服务端及客户端的xml签名、加密以及解密和签名验证; 这里仅针对客户端加密和签名并在服务端实现解密及签名验证的单向认证的情形,双向认证可以参照官方sample改进; 实现: 客户端使用客户端私钥进行消息签名、客户端使用服务端公钥消息加密; 服务端使用客户端公钥进行签名验证、服务端使用服务端私...
CXF创建webservice服务端.doc
最新发布
08-12
首先,CXF支持多种Web Services标准,包括SOAP、Basic Profile、WS-Addressing、WS-Policy、WS-ReliableMessaging和WS-Security。这意味着开发人员可以轻松地实现和使用符合这些标准的Web Services,以满足不同的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值