SOAP头鉴权的实现

最新推荐文章于 2024-07-09 20:05:23 发布
最新推荐文章于 2024-07-09 20:05:23 发布
阅读量3.9k 收藏
点赞数
文章标签: Java WSDL SOAP 头鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oh_Maxy/article/details/9341517
版权

       技术背景:引擎为Axis1.4,接口实现方式为wsdl文件生成服务端、客户端代码,请求消息为SOAP报文。

       为了强化SOAP服务器对请求消息合法性的校验,我们采用两种安全性保护措施:1. SOAP请求消息增加Header头域令牌,要求包含用户名和用户密码;2. 实现请求消息预处理拦截机制,对请求消息的令牌进行校验,并验证请求消息IP地址的合法性。

       为此,我们要做两件事情:一,如何将Header域加入到请求消息中,使之能够通过Axis引擎的解析;二,如何通过请求消息获得请求IP。

       关于第一点,有两种方式实现。比较简单的实现,就是在所有的请求指令中,扩展对象,存储Header对象。这种方式比较笨拙,对原请求消息Body的影响较大。另外一种就是直接在Body之外统一增加节点Header。这种方式较为灵活,对元请求消息格式没有影响。

       下面就说明实现请求Header域的操作步骤。

1.     在wsdl中定义Header域。

Header内容元素定义:
			<element name="Security">
				<complexType>
					<sequence>
						<element name="UserToken" type="wsse:UserToken" />
					</sequence>
				</complexType>
			</element>
			<complexType name="UserToken">
				<sequence>
					<element name="user" type="xsd:string" />
					<element name="pass" type="xsd:string" />
				</sequence>
			</complexType>

Header定义
<wsdl:message name="AllRequestHeader">
		<wsdl:part element="wsse:Security" name="request_header" />
	</wsdl:message>

2.     将Header合入到每个请求的Operation定义中。

增加header之前:
		<wsdl:operation name="createMyBusiness">
			<wsdlsoap:operation soapAction="" />
			<wsdl:input name="createMyBusinessRequest">
				<wsdlsoap:body use="literal" />
			</wsdl:input>
			<wsdl:output name="createMyBusinessResponse">
				<wsdlsoap:body use="literal" />
			</wsdl:output>
		</wsdl:operation>

增加header后:
		<wsdl:operation name="createMyBusiness">
			<wsdlsoap:operation soapAction="" />
			<wsdl:input name="createMyBusinessRequest">
				<wsdlsoap:header message="impl:AllRequestHeader"
					part="request_header" use="literal" />
				<wsdlsoap:body use="literal" />
			</wsdl:input>
			<wsdl:output name="createMyBusinessResponse">
				<wsdlsoap:body use="literal" />
			</wsdl:output>
		</wsdl:operation>

3.     使用Axis自带的WSDL2Java工具,根据修改后的wsdl生成代码。

     自此,SOAP请求消息就有了Header域,接下来的工作,就是如何拦截请求,统一校验Header和IP了。

     实现请求消息头鉴权拦截器的WSDD配置(Axis1.4):

1.     拦截校验类需要继承BasicHandler

2.     在server-config.wsdd下增加配置(请关注RequestValidate的配置):

<?xml version="1.0" encoding="UTF-8"?>
<deployment xmlns="http://xml.apache.org/axis/wsdd/"
	xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">
	<globalConfiguration>
		<parameter name="sendMultiRefs" value="true" />
		<parameter name="disablePrettyXML" value="true" />
		<parameter name="adminPassword" value="admin" />
		<parameter name="attachments.Directory" />
		<parameter name="dotNetSoapEncFix" value="true" />
		<parameter name="enableNamespacePrefixOptimization"
			value="false" />
		<parameter name="sendXMLDeclaration" value="true" />
		<parameter name="attachments.implementation"
			value="org.apache.axis.attachments.AttachmentsImpl" />
		<parameter name="sendXsiTypes" value="true" />
		<requestFlow>
			<handler type="java:org.apache.axis.handlers.JWSHandler">
				<parameter name="scope" value="session" />
			</handler>
			<handler type="java:org.apache.axis.handlers.JWSHandler">
				<parameter name="scope" value="request" />
				<parameter name="extension" value=".jwr" />
			</handler>
		</requestFlow>
	</globalConfiguration>
	<handler name="LocalResponder"
		type="java:org.apache.axis.transport.local.LocalResponder" />
	<handler name="URLMapper"
		type="java:org.apache.axis.handlers.http.URLMapper" />
	<handler name="Authenticate"
		type="java:org.apache.axis.handlers.SimpleAuthenticationHandler" />
	<!--请求消息拦截类定义-->
	<handler name="RequestValidate"
		type="java:com.validation.RequestValidate" />
	<service name="AdminService" provider="java:MSG">
		<parameter name="allowedMethods" value="AdminService" />
		<parameter name="enableRemoteAdmin" value="false" />
		<parameter name="className" value="org.apache.axis.utils.Admin" />
		<namespace>http://xml.apache.org/axis/wsdd/</namespace>
	</service>
	<service name="Version" provider="java:RPC">
		<parameter name="allowedMethods" value="getVersion" />
		<parameter name="className" value="org.apache.axis.Version" />
	</service>

	<!-- Services from ImsService WSDL service -->
	<service name="SoapService" provider="java:RPC" style="wrapped"	use="literal">
                <!--拦截请求消息流-->
		<requestFlow>
			<handler type="RequestValidate" />
		</requestFlow>
		<!--拦截响应消息流-->
		<responseFlow>
			<handler type="RequestValidate" />
		</responseFlow>
		...<!--其它具体接口指令-->
	</service>
</deployment>
3.     RequestValidate类具体实现。
 

package com.validation;

import java.util.List;
import javax.servlet.http.HttpServletRequest;
import javax.xml.namespace.QName;
import javax.xml.soap.SOAPException;
import org.apache.axis.AxisFault;
import org.apache.axis.Message;
import org.apache.axis.MessageContext;
import org.apache.axis.handlers.BasicHandler;
import org.apache.axis.message.MessageElement;
import org.apache.axis.message.SOAPHeader;
import org.apache.axis.transport.http.HTTPConstants;

/**
 * 头鉴权拦截器,需要继承BasicHandler
 */
public class RequestValidate
    extends BasicHandler
{
    private static final long serialVersionUID = 1L;

    /**invoke
     * @param mc mc
     */
    public void invoke(MessageContext mc)
        throws AxisFault
    {
        //获取Header
        Message msg = mc.getRequestMessage();
        SOAPHeader header = null;
        try
        {
            header = (SOAPHeader) msg.getSOAPHeader();
        }
        catch (SOAPException e)
        {
            e.printStackTrace();
            throw new AxisFault(new QName("20000"), "Header-node error!", null, null);
        }
        List<?> list = header.getChildren();
        MessageElement token = (MessageElement) list.get(0);
        list = token.getChildren();
        MessageElement authenNode = (MessageElement) list.get(0);
        list = authenNode.getChildren();
        MessageElement nameNode = (MessageElement) list.get(0);
        String userName = nameNode.getValue();//user节点
        MessageElement pwdNode = (MessageElement) list.get(1);
        String password = pwdNode.getValue();//pass节点
        //对user和pass的校验省略
        System.out.println("user:"+userName+",pass:"+password);

        //获取SOAP请求的IP
        HttpServletRequest request =
            (HttpServletRequest) mc.getProperty(HTTPConstants.MC_HTTP_SERVLETREQUEST);
        String ipAddr = request.getRemoteAddr();
        //对IP的校验省略
        System.out.println("requestIP:" + ipAddr);
    }
}

     至此,SOAP请求的拦截器基本实现,我们可以在请求消息的Body之上,增加Header域:

<SOAP-ENV:Header> 
	<m:Security xmlns:m="http://wsse.email.soapservice.google.com">  
		<m:UserToken> 
			<m:user>myname</m:user> 
			<m:pass>mypass</m:pass> 
		</m:UserToken> 
	</m:Security> 
</SOAP-ENV:Header>



oh_Maxy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
soap验证
NogamesNow的专栏
07-17 2022
许多的公司都有自己的web服务来支撑自己系统内的运营逻辑,并且是非公开的,那么如何对自己的web服务进行验证呢?不可能任何一个知道你的webservice  url 的人都可以去调用你的服务,那企业内部那么多数据岂不全被剽窃?我在这开只是言明web服务验证的重要性,接下来,我将从比较基础的讲起如何使用soapheader来验证。首先,我们来讲讲什么是soapheader。soap协议是啥我就
Axis2版本的鉴权应用
10-19
在IT行业中,安全是至关重要的一个方面,尤其是在Web服务领域。`Axis2`是一个流行的Java Web服务框架,它被广泛...通过深入学习和实践,开发者可以熟练掌握在Axis2中实现鉴权的技巧,从而提升Web服务的安全防护能力。
探索接口测试:SOAP、RestFul规则、JMeter及市面上的接口测试工具
洛秋的博客
11-26 1142
基于Java语言压力测试工具,可以做接口测试,也可以做性能测试。安装:JDK1.8以上,配置环境变量backups:脚本备份目录,格式JMLbin:存放Jmeter的启动脚本,配置文件,模块文件Jmeter.bat 启动Jmeterjmeter.prperites 核心配置文件。docs:离线帮助文档。extras:存放于第三方的集成构建文件,继承Ant,Jenkinslib目录:存放jar包licensce:许可证文件。
Axis1.4如何实现鉴权
12-12
Axis1.4如何实现鉴权(包括实现类模板)
Java客户端调用SOAP方式的WebService服务实现方式分析
最新发布
bigbearxyz的博客
07-09 1570
Java实现SOAP方式的WebService客户端调用方法及实例介绍
Web Service (二) WSDL详解
xx510long的博客
04-30 1362
  1.Web Service的一些相关概念 web service:远程调用的一种方案。一种解决跨平台、跨语言间的分布式系统的集成(整合)方案 esb:enterprise service bus企业服务总线 soap:simple object access protocal简单对象访问协议(http + xml) soa:service oriented acrchietectur...
第三十三章 类关键字 - SoapBodyUse
yaoxin521123的博客
07-29 458
文章目录 第三十三章 类关键字 - SoapBodyUse用法详解对子类的影响默认WSDL的关系对SOAP消息的影响对网络服务或网络客户端参数默认值的影响与%XML.DataSet一起使用 第三十三章 类关键字 - SoapBodyUse 指定此类中定义的任何web method的编码。此关键字仅适用于web服务和web客户端类。 用法 要指定此类的web method的输入和输出所使用的编码,请使用以下语法: Class MyApp.MyClass [ SoapBodyUse = soapbodyuse
Java拦截所有接口请求并过滤请求内容
RHHcainiao的博客
11-09 679
拦击器拦截接口请求获取请求数据
Onvif编译及开发(带wsse鉴权和digest鉴权)
08-23
本教程将深入探讨如何进行ONVIF编译与开发,包括使用gSOAP工具处理SOAP消息,以及实现WSSE(Web Services Security Extensions,Web服务安全扩展)和DIGEST鉴权机制。 首先,让我们了解gSOAP。gSOAP是一个开源C和...
C#WebService-Soap扩展实现安全认证
11-24
1、利用SoapExtension,SoapExtensionAttribute,实现Soap自定义Attribute(标签)扩展类。 2、利用SoapHeader应用Soap扩展。 3、在写WebService时只需加认证标签,客户端调用时传入SoapHeader,即可完成认证。 4、...
Onvif开发框架(C++)带鉴权
07-14
4. 鉴权机制:Onvif支持的鉴权方式需要在C++代码中实现。例如,对于HTTP Basic Auth,需要在请求中添加Authorization字段,包含Base64编码的用户名和密码。 三、构建Onvif开发框架的步骤 1. 配置gSOAP:下载并...
鉴权拦截器(验证token)
an715396887的博客
07-27 729
鉴权拦截器的作用是在处理请求之前对请求进行拦截,并进行鉴权操作。它可以用于验证用户的身份、权限或其他安全相关的操作。通过在preHandle()方法中编写鉴权逻辑,可以对请求进行验证,如果验证失败则可以拒绝请求或进行其他处理。鉴权拦截器可以提高系统的安全性,防止未经授权的访问。
Java拦截器---简单的请求认证
zh_404的博客
02-25 752
spring boot项目 1.定义拦截器(对请求信息进行鉴权认证) package com.tencent.healthdc.dragonboat.interceptor; import java.io.IOException; import java.util.List; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http
WebService中的WSDL详解
weixin_44659084的博客
04-18 2492
有人在WebService开发的时候,特别是和第三方有接口的时候,走的是SOAP协议,然后用户(或后台)给你一个WSDL文件(或网址),说按照上面的进行适配, 这时就要对WebService的WSDL有一定的理解,本文将对WSDL(WebService描述语言)进行详细总结。对于这个WSDL文档的学习,第一次看是感觉非常陌生的,而且里面元素又多,学习的话先是要了解外层结构代表的意义和作用,然后理解里面的元素的意义和作用,有些元素作用不大,有些元素又是很关联的,有些元素是比较重要的。
java webservice 验证_SOAP header验证WebService接口的访问权限
weixin_39908588的博客
02-21 891
webService对外提供的服务,在验证客户端访问权限方面,最笨的验证方法应该是在业务方法上面加参数了,这也是之前的做法!发现网上通行的办法是在SOAP协议增加对用户的验证。实验完总结如下。客户端采用cxf+spring 配置文件如下address="/resSync/ITReceptionAdapter">ServerPasswordCallback相当于filter,代码如下imp...
使用Soap自定义身份验证
anwengui3026的博客
07-07 212
在intranet场景下,Windows身份验证动作良好,并且开发人员可以在自身域中对用户进行身份验证。如果在Web.config文件中将WEB服务设置为WINDOWS身份验证模式,那么必须为每一个用户创建一个本地几户或域账户。对于拥有大量用户的应用程序来说,这不是一个实用的解决方案,美工豕对于Internet上的应用程序来说这是不可能实现的。对Internet而言,可能需要根据...
通过SoapHeader实现身份认证
baiyuxiong的专栏
07-28 751
<br /><br />之前一直抱怨php的soap很傻,在client端有设置header的方法,在server端却没有取header的方法。那是很傻很天真,直接用正则表达式从soap信封的header中提取header信息。<br />最近由于有项目要发布webservice,重新燃起对soap的兴趣,看了w3的英文文档,那是个云里雾里。收集了一些资料,做了一个关于saop header进行身份认证的实验。<br /><br />在这个实验中,假定soap client用一个字符串作为身份认证的标识,s
SoapUI-传递 Respons header 中的值到 Request header
可口可乐的博客
11-05 5629
转载地址:https://testerhome.com/topics/3575 SoapUI 的 Property Transfer 不能在请求和响应之前传递参数,查到可以用 Groovy Script 在信息间传参。 比如登录请求是: http://10.0.0.1/mobile/login/?username=13740434043&password=12345
Onvif鉴权实现方式
06-08
Onvif是一种网络视频监控标准,通常使用HTTP和SOAP协议进行通信。Onvif鉴权可以通过用户名和密码进行实现,具体步骤如下: 1. 在网络摄像或NVR上创建一个用户,并为其分配一个密码。 2. 在进行Onvif请求之前,将用户名和密码作为HTTP请求的一部分发送给设备。 3. 设备使用收到的用户名和密码验证请求并返回响应。 需要注意的是,不同的设备可能会有不同的鉴权方式,因此实现方式可能会有所不同。此外,为了确保安全性,建议使用HTTPS协议进行通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值