CXF拦截器之数据校验(添加额外的Soap头信息)

最新推荐文章于 2022-11-02 16:12:57 发布
最新推荐文章于 2022-11-02 16:12:57 发布
阅读量8.6k 收藏 6
点赞数 5
分类专栏: CXF 文章标签: cxf soap 头信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18675693/article/details/52148672
版权

本节内容概述

使用CXF拦截器实现在消息发送阶段添加额外的Soap头信息以及在接收阶段添加自定义的数据有效性校验拦截器。

本案例将实现的功能如下

  1. 在发送的Soap请求中加入soap:Header(默认情况下cxf并不会加入头信息,而且头信息不会影响到webservice的处理)。添加一套自定义的校验数据规则。
  2. 数据接收方,也就是Webservice的发布方可以通过添加拦截器在调用Webservice服务前进行头部的校验,从而保证数据的有效性。

以下提供更新安全的Webservice构想(菜鸟的思维)

上面的思路进行数据的加密。如果有人拦截到报文虽然无法伪造(因为我们做了头校验,当然也不是完全不能伪造,假设而已)但是他依然可以看懂报文内容,所以还应该将数据进行加密|解密,这样即使数据被拦截,他也不能理解我们传递的信息是什么。如果在加上一个用户认证功能也许就更perfect,这样我们的服务就可以细分的权限级别。
最终我们应该做到:数据被截获了,但是我们有头部校验啊(你伪造不了),我们数据有加密(你看不懂),我们有用户权限控制(你还要破解用户信息)。
三层防护,哈哈哈!!!

下面是头部校验代码一览
服务端:响应头包装,请求头解析

/**
 * 响应头包装器【服务器端--发送】
 * @author xbz
 *
 */
public class WebserviceResponseHeaderWrapper extends AbstractPhaseInterceptor<SoapMessage> {

    public WebserviceResponseHeaderWrapper(){
        super(Phase.PREPARE_SEND);
    }

    @Override
    public void handleMessage(SoapMessage soapMsg) throws Fault {
        System.out.println("ID:"+getId()+"服务器端--响应头包装器");
        List list =soapMsg.getHeaders();
        SoapHeader responsetHeader=WebServiceHeaderUtil.createResponsetHeader();
        list.add(0,responsetHeader);
    }
}
/**
 * 请求头解析器【服务器端--接收】
 * @author xbz
 *
 */
public class WebServiceRequestHeaderParser  extends AbstractPhaseInterceptor<SoapMessage> {
    public WebServiceRequestHeaderParser(){
        super(Phase.PRE_INVOKE);
    }

    @Override
    public void handleMessage(SoapMessage soapMsg) throws Fault {
        System.out.println("服务器端--请求头解析器");
        List<Header> headers = soapMsg.getHeaders();
        Header header=null;
        if(headers==null||headers.size()==0){
            throw new Fault(new Exception("没有检查到请求头"));
        }else{
            header=headers.get(0);
        }
        Element element=(Element) header.getObject();
        NodeList idNodeList = element.getElementsByTagName(WebServiceHeaderUtil.REQUEST_HEADER_TAGETNAME_ID);
        NodeList timeNodeList = element.getElementsByTagName(WebServiceHeaderUtil.REQUEST_HEADER_TAGETNAME_TIME);
        NodeList codeNodeList = element.getElementsByTagName(WebServiceHeaderUtil.REQUEST_HEADER_TAGETNAME_CODE);
        if(idNodeList==null||idNodeList.getLength()==0){
            throw new Fault(new Exception("没有找到"+WebServiceHeaderUtil.REQUEST_HEADER_TAGETNAME_ID));
        }else if(timeNodeList==null||timeNodeList.getLength()==0){
            throw new Fault(new Exception("没有找到"+WebServiceHeaderUtil.REQUEST_HEADER_TAGETNAME_TIME));
        }else if(codeNodeList==null||codeNodeList.getLength()==0){
            throw new Fault(new Exception("没有找到"+WebServiceHeaderUtil.REQUEST_HEADER_TAGETNAME_CODE));
        }
        String request_id=idNodeList.item(0).getTextContent();
        String request_time=timeNodeList.item(0).getTextContent();
        String request_code=codeNodeList.item(0).getTextContent();
        boolean validateFlag = WebServiceHeaderUtil.validateHeader(request_id,request_time,request_code);
        if(!validateFlag ){
            throw new Fault(new Exception("请求头信息无效"));
        }
        System.out.println("=========================================================");

    }
}

服务端配置cxf-servlet

    <!--服务端发布  -->
    <jaxws:endpoint id="helloWorld" implementor="com.ainoties.core.webservice.sample.impl.HelloCXFImpl" address="/HelloWorld">
        <jaxws:inInterceptors>
            <ref bean="loggingInInterceptor"/>
            <ref bean="webserviceRequestHeaderParser"/>
        </jaxws:inInterceptors>
        <jaxws:outInterceptors>
            <ref bean="loggingOutInterceptor"/>
            <ref bean="webserviceResponseHeaderWrapper"/>
        </jaxws:outInterceptors>
    </jaxws:endpoint>

客户端:请求头包装,响应头解析

/**
 * 请求头包装器【客户端--发送】
 * @author Administrator
 *
 */
public class WebServiceRequestHeaderWrapper extends AbstractPhaseInterceptor<SoapMessage> {
    public WebServiceRequestHeaderWrapper(){
        super(Phase.PREPARE_SEND);
    }

    @Override
    public void handleMessage(SoapMessage soapMsg) throws Fault {
        System.out.println("ID:"+getId()+"客户端-请求头包装器");
//      QName wsdl_service=(QName) message.getContextualProperty(Message.WSDL_SERVICE);
//      Object wsdl_port= message.getContextualProperty(Message.WSDL_PORT);
//      Object wsdl_port= message.getContextualProperty(Message.PROTOCOL_HEADERS);
//      QName q=new QName(namespaceURI, localPart, prefix);
//      Assert.isInstanceOf(SoapMessage.class, message);
        System.out.println("==========准备创建SoapHeader====================");
        List list =soapMsg.getHeaders();
        SoapHeader reuqestHeader=WebServiceHeaderUtil.createRquestHeader();
        list.add(0,reuqestHeader);
    }   
}
/**
 * 响应头包解析器【客户端--接收】
 * @author xbz
 *
 */
public class WebserviceResponseHeaderParser extends AbstractPhaseInterceptor<SoapMessage> {
    public WebserviceResponseHeaderParser(){
        super(Phase.PRE_INVOKE);
    }

    @Override
    public void handleMessage(SoapMessage soapMsg) throws Fault {
        System.out.println("客户端--响应头包解析器");
        List<Header> headers = soapMsg.getHeaders();
        Header header=null;
        if(headers==null||headers.size()==0){
            throw new Fault(new Exception("没有检查到头信息"));
        }else{
            header=headers.get(0);
        }
        Element element=(Element) header.getObject();
        NodeList idNodeList = element.getElementsByTagName(WebServiceHeaderUtil.RESPONSE_HEADER_TAGETNAME_ID);
        NodeList timeNodeList = element.getElementsByTagName(WebServiceHeaderUtil.RESPONSE_HEADER_TAGETNAME_TIME);
        NodeList codeNodeList = element.getElementsByTagName(WebServiceHeaderUtil.RESPONSE_HEADER_TAGETNAME_CODE);
        if(idNodeList==null||idNodeList.getLength()==0){
            throw new Fault(new Exception("没有找到"+WebServiceHeaderUtil.RESPONSE_HEADER_TAGETNAME_ID));
        }else if(timeNodeList==null||timeNodeList.getLength()==0){
            throw new Fault(new Exception("没有找到"+WebServiceHeaderUtil.RESPONSE_HEADER_TAGETNAME_TIME));
        }else if(codeNodeList==null||codeNodeList.getLength()==0){
            throw new Fault(new Exception("没有找到"+WebServiceHeaderUtil.RESPONSE_HEADER_TAGETNAME_CODE));
        }
        String response_id=idNodeList.item(0).getTextContent();
        String response_time=timeNodeList.item(0).getTextContent();
        String response_code=codeNodeList.item(0).getTextContent();
        boolean validateFlag = WebServiceHeaderUtil.validateHeader(response_id,response_time,response_code);
        if(!validateFlag ){
            throw new Fault(new Exception("响应头信息无效"));
        }
        System.out.println("=========================================================");
    }
}

最重要的还有工具类,请使用DOMUtil(cxf旗下)进行xml元素操作

/**
 * 创造WebService的SoapHeader,以及加密|解密头信息
 * @author xbz
 *
 */
public class WebServiceHeaderUtil {
    public static DateFormat DATE_FORMAT=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss.SSS");
    public static String DEFAULT_ENCODING="UTF-8";
    public static int MAX_SALT=100;//最大盐值MAX_SALT-1
    public static int DEFALUT_SALT=50;//当盐值为0时,取默认值
    public static QName REQUEST_HEADER_QNAME=new QName("RequestHeader", "http://sechemas.xml.ainotest.com/RequestHeader/");
    public static QName RESPONSE_HEADER_QNAME=new QName("ResponseHeader", "http://sechemas.xml.ainotest.com/ResponseHeader/");
    /*--------------标签名----------------------------*/
    public static String REQUEST_HEADER_TAGETNAME_ID="request_id";
    public static String REQUEST_HEADER_TAGETNAME_TIME="request_time";
    public static String REQUEST_HEADER_TAGETNAME_CODE="request_code";
    public static String RESPONSE_HEADER_TAGETNAME_ID="response_id";
    public static String RESPONSE_HEADER_TAGETNAME_TIME="response_time";
    public static String RESPONSE_HEADER_TAGETNAME_CODE="response_code";
    /**
     * 创造请求头信息
     * @return 返回构建好的xml
     */ 
    public static SoapHeader createRquestHeader(){
        SoapHeader header=null;
        try{
            String reqeustId=UUID.randomUUID().toString(); 
            String requestTime=DATE_FORMAT.format(new Date());
            String requestCode=createCode(reqeustId, requestTime);
            Document doc = DOMUtils.createDocument();
            Element root=doc.createElement("ainotes:RequestHeader");
            root.setAttribute("xmlns:ainotes", "http://sechemas.xml.ainotest.com/RequestHeader/");
            Element idEle=doc.createElement(REQUEST_HEADER_TAGETNAME_ID);
            idEle.setTextContent(reqeustId);
            Element timeEle=doc.createElement(REQUEST_HEADER_TAGETNAME_TIME);
            timeEle.setTextContent(requestTime);
            Element codeEle=doc.createElement(REQUEST_HEADER_TAGETNAME_CODE);
            codeEle.setTextContent(requestCode);
            root.appendChild(idEle);
            root.appendChild(timeEle);
            root.appendChild(codeEle);
            header=new SoapHeader(REQUEST_HEADER_QNAME,root);
        }catch(Exception e){
            throw new RuntimeException(e);
        }finally{
            return header;
        }
    }
    public static SoapHeader createResponsetHeader() {
        SoapHeader header=null;
        try{
            String reqeustId=UUID.randomUUID().toString(); 
            String reponseTime=DATE_FORMAT.format(new Date());
            String reponseCode=createCode(reqeustId, reponseTime);
            Document doc = DOMUtils.createDocument();
            Element root=doc.createElement("ainotes:ReponseHeader");
            root.setAttribute("xmlns:ainotes", "http://sechemas.xml.ainotest.com/ReponsetHeader/");
            Element idEle=doc.createElement(RESPONSE_HEADER_TAGETNAME_ID);
            idEle.setTextContent(reqeustId);
            Element timeEle=doc.createElement(RESPONSE_HEADER_TAGETNAME_TIME);
            timeEle.setTextContent(reponseTime);
            Element codeEle=doc.createElement(RESPONSE_HEADER_TAGETNAME_CODE);
            codeEle.setTextContent(reponseCode);
            root.appendChild(idEle);
            root.appendChild(timeEle);
            root.appendChild(codeEle);
            header=new SoapHeader(RESPONSE_HEADER_QNAME,root);
        }catch(Exception e){
            throw new RuntimeException(e);
        }finally{
            return header;
        }
    }
    /**
     * 根据id和time得到一个加密的code
     * @param id
     * @param time
     * @return
     */
    public static  String createCode(String id,String time){
        id=id.replace("-", "");
        String requestCode=null;
        try{
            int salt = getSalt(time);
            requestCode=encodeRequestId(id, salt);
        }catch(Exception e){
            throw new RuntimeException(e);
        }finally{
            return requestCode;
        }
    }
    public static int getSalt(String requestTime) {
        String s =requestTime.replaceAll("[\\.\\-\\s:]+", "");
        int ss=Math.abs(s.hashCode());
        int salt=ss%MAX_SALT;
        if(salt==0){
            salt=DEFALUT_SALT;
        }
        return salt;
    }
    public static String  encodeRequestId(String requestId,int salt) {
        String res=null;
        try{
            byte[] b=requestId.getBytes(DEFAULT_ENCODING);
            int end=salt-1;
            for (int i = 0; i < salt; i++) {
                if(i!=end){
                    b=DigestUtils.md5Digest(b);
                }else{
                    res=DigestUtils.md5DigestAsHex(b);
                }
            }
            res=res.replaceAll("[\\D]+", "");
        }catch(Exception e){
            throw new RuntimeException(e);
        }finally{
            return res;
        }
    }

    public static boolean validateHeader(String id, String time, String code) {
        Assert.notNull(id,"id不能为Null");
        Assert.notNull(time,"time不能为Null");
        Assert.notNull(code,"code不能为Null");
        return code.equals(createCode(id, time));
    }

测试方法:

    @Test
    public void testCXFClientWithInterceptor() throws Exception{
            JaxWsDynamicClientFactory dcf = JaxWsDynamicClientFactory.newInstance(); 
            URL url= new URL("http://localhost:8080/cxf/webservice/HelloWorld?wsdl");
            Client client = dcf.createClient(url);  
            //消息发送时使用WebServiceRequestHeaderWrapper封装消息头
            client.getOutInterceptors().add(new WebServiceRequestHeaderWrapper());
            client.getInInterceptors().add(new WebserviceResponseHeaderParser());
//          client.getInInterceptors().add(new LoggingInInterceptor());
//          client.getOutInterceptors().add(new LoggingOutInterceptor());
            Object user= Thread.currentThread().getContextClassLoader().loadClass("com.ainoties.core.webservice.sample.User").newInstance();
            Method method = BeanUtils.findDeclaredMethod(user.getClass(), "setUsername", String.class);
            method.invoke(user, "xbz");
            Object[] res = client.invoke("hiUser", user);
            System.out.println(res[0]);
    }
许中宝
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
cxf 生成soap_如何在cxf中获取soap报文,工作中
weixin_34211615的博客
12-23 674
匿名用户1级2016-07-12 回答1. 单独建立线程池,线程池中的所有工作线程从线程池任务队列中读取任务,启动SOAP报文下发工作。2. 建立连接池,线程池中线程从连接池获取一个连接将SOAP报文下发到网元上。3. 其他线程:SOAP报文读取线程,将生成的SOAP报文文件映射到内存文件,每次读取1w条数据SOAP报文下发队列,SOAP下发队列数据结构进行封装,添加信号量,每次数据push_b...
Cxf拦截器中获取当前请求的参数
Elim的博客
05-18 1万+
Cxf拦截器中获取当前请求的参数          有的时候我们的工程里面会有很多的Webservice服务,我们可能出于某种原因可能需要对每个请求实现特定的逻辑,比如说对参数的有效性进行校验,这种逻辑往往是通过Cxf拦截器来实现的,这个时候就需要获取Webservice服务的当前请求参数。Cxf中用MessageContentsList来封装一次请求的所有参数,它是继承自java.util.A
cxf的使用及安全校验-01创建简单的服务端接口
weixin_30314631的博客
10-29 92
最近因为项目的需要,研究了一下webservice的使用; 这里以cxf2.7.0为例,大致介绍一下,也用于备份啦(张立胜) 大致介绍一下项目的情况:项目有maven管理,webservice调用的方式cxf(是通过接口地址在客户端先生成相关文件) 我们先来介绍服务端: 1.引入相关jar包,因为项目是通过maven管理的,所以直接在pom文件添加 <dependenc...
CXF 添加soap 信息
勇往直前,学无止尽
10-21 8449
CXF版本为3.1.3,访问.net接口,需要在添加用户名和密码。 1:首先使用wsdl2java.bat生成相应的代码 2:新增拦截器。 import java.util.List; import javax.xml.namespace.QName; import org.apache.cxf.binding.soap.SoapHeader; import org.apach
java cxf 参数_java – 一般如何处理CXF请求处理程序中的输入参数?
weixin_35851654的博客
02-16 334
我一直在使用apache CXF(版本2.2.2)JAX-RS做一些工作.我想在调用业务方法之前在CXF请求处理程序中引入数据验证层.幸运:),我在请求处理程序(DataValidationHandler)中遇到输入参数处理问题.我可以通过请求处理程序中的代码行手动读取JSON对象.但它与在CXF框架中注册的JSONProvider重复.因为JSON对象输入流只能被读取一次,否则我们将遇到异常“j...
springBoot整合CXF并实现用户名密码校验的方法
08-27
这两个项目都需要添加CXF的依赖项。 在pom.xml文件中添加以下依赖项: ```xml <groupId>org.apache.cxf <artifactId>cxf-spring-boot-starter-jaxws <version>3.1.11 ``` 二、定义要发布的接口和实现类 下...
spring集成cxf客户端和服务器端demo(含自定义拦截器)
10-24
在这个示例中,可能会有一个或多个自定义拦截器,它们可能用于日志记录、权限检查、数据校验等。拦截器通过实现CXF提供的特定接口并注册到Spring上下文中,从而在服务请求生命周期中介入。 6. **配置文件**:项目中...
spring boot-实现WebService(CXF实现)的拦截器(Interceptor)
牛奋lch
05-22 1万+
拦截器(Interceptor)是CXF功能最主要的扩展点,可以在不对核心模块进行修改的情况下,动态添加很多功能。拦截器和JAX-WS Handler、Filter的功能类似,当服务被调用时,就会创建一个拦截器链(Interceptor Chain),拦截器链在服务输入(IN)或输出(OUT)阶段实现附加功能。 拦截器可以在客户端,也可以在服务端添加。当客户端发起一个WebService请求
CXF实战之自定义拦截器(五)
达拉斯母牛
07-30 8909
CXF已经内置了一些拦截器,这些拦截器大部分默认添加拦截器链中,有些拦截器也可以手动添加,如手动添加CXF提供的日志拦截器。也可以自定义拦截器CXF中实现自定义拦截器很简单,只要继承AbstractPhaseInterceptor或者AbstractPhaseInterceptor的子类(如AbstractSoapInterceptor)即可。
Web Service (011---webservice自定义拦截器
张--小涛涛
10-21 450
自定义拦截器需要继承org.apache.cxf.phase.AbstractPhaseInterceptor 抽象类,并实现其handleMessage方法,与重写自定义的构造器(由于AbstractPhaseInterceptor 没有无参构造器,所以要在自定义构拦截器的造器中调用supper(带参数))。 部分代码 public class AuthIntercetpr    
基于CXF的webservice拦截器
最新发布
u014543166的博客
11-02 1112
CXF webservice 拦截器 定制报文格式
Apache CXF拦截器Interceptor实现WebServices用户验证
Mungo的专栏
10-29 6449
Apache CXF应该都知道,是一个开源的 Services 框架,可以构建基于SOAP或RESTful 的WebServices ,并且可以和 Spring 天然地进行无缝集成。 不过这里不是关于CXF的系统介绍,而是在开发WebServices 时遇到一些问题,最终使用CXF拦截器完成需求。所以侧重记录使用CXF拦截器。 问题 先说问题,其实也很简单,简言之就是在请求时需要对请求
CXF-DOSGI为webservice增加用户名密码权限校验
坐忘峰
06-23 4425
在OSGI环境中,通常使用CXF-DOSGI作为webservice发布框架,这种资料网上很多,但是如何在CXF-DOSGI下做webservice的权限校验,网上资料几乎为零。 关于CXF(注意不是CXF-DOSGI)做权限校验的资料一堆堆的。本人经过试验,解决了这个问题
【WebService】CXF拦截器的设置以及自定义CXF拦截器
热门推荐
武哥聊编程
07-31 1万+
CXF拦截器和以前学过的servlet的拦截器类似的,都是在开始或结束切入一段代码,执行一些逻辑之类的。我们可以在调用ws服务前设置拦截器,也可以在调用ws服务后设置拦截器,当然了,拦截器也可以添加多个,CXF中有自己内置的拦截器,先来写个简单CXF自带的拦截器实例熟悉一下在CXF中如何添加,然后再来自定义CXF拦截器。 1. CXF内置的拦截器设置 还是使用上一节的ws,在原来的基础上
C# 通过Get、Post、Soap调用WebService的方法
weixin_34260991的博客
02-02 911
实现代码来源于网络,我只是作了一些修改! using System; using System.Web; using System.Xml; using System.Collections; using System.Net; using System.Text; using System.IO; using System.Xml.Serialization; /// ...
webservice使用拦截器进行权限验证
u011079727的专栏
11-12 1524
我们知道webservice是实现两个系统之间的交互
简单的WebService 拦截器进行身份验证
Lyf_uglyMonster的博客
08-20 730
服务端新增一个 获得请求的拦截器 import java.util.List; import org.apache.cxf.binding.soap.SoapMessage; import org.apache.cxf.headers.Header; import org.apache.cxf.interceptor.Fault; import org.apache.cxf.phase.Ab...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值