WebService CXF学习(高级篇3):WS-Security

最新推荐文章于 2015-08-11 08:55:13 发布
最新推荐文章于 2015-08-11 08:55:13 发布
阅读量121 收藏
点赞数
分类专栏: 分布式 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rongdmmap/article/details/84171331
版权

 这一节我们来探讨一下WebService安全问题,如果所有系统都运行在一个封闭的局域网内,那么可以不考虑网络攻击,拒绝服务,消息篡改,窃取等问题。但通常情况都接入互联网,那么我就得考虑信息安全问题,像前面那样直接将消息裸传,肯定不行。那么,我们就得给消息加密。CXF可以结合WSS4J来对消息安全进行管理,可以使用令牌,X.509认证对消息头或内容进行加密。这节我只对令牌加密做一个简单的描述,我们还以Demo的形式来讲解一下。 
    这个Demo是在CXF+Spring+Hibernate的基础修改而成。在这里我只针对修改的东西进行讲解。 

Java代码    收藏代码
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  4.     xmlns:jaxws="http://cxf.apache.org/jaxws"  
  5.     xsi:schemaLocation="  
  6.         http://www.springframework.org/schema/beans   
  7.         http://www.springframework.org/schema/beans/spring-beans-2.0.xsd  
  8.         http://cxf.apache.org/jaxws   
  9.         http://cxf.apache.org/schemas/jaxws.xsd">  
  10.     <import resource="classpath:META-INF/cxf/cxf.xml" />  
  11.     <import resource="classpath:META-INF/cxf/cxf-extension-soap.xml" />  
  12.     <import resource="classpath:META-INF/cxf/cxf-servlet.xml" />  
  13.   
  14.   
  15.     <jaxws:endpoint id="service"  
  16.         implementor="com.itdcl.service.ServiceImpl" address="/Service">  
  17.         <jaxws:inInterceptors>  
  18.             <bean  
  19.                 class="org.apache.cxf.interceptor.LoggingInInterceptor" />  
  20.             <bean  
  21.                 class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />  
  22.             <bean  
  23.                 class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">  
  24.                 <constructor-arg>  
  25.                     <map>  
  26.                         <entry key="action" value="UsernameToken" />  
  27.                         <entry key="passwordType"  
  28.                             value="PasswordText" />  
  29.                         <entry key="user" value="cxfServer" />  
  30.                         <entry key="passwordCallbackRef">  
  31.                             <ref bean="serverPasswordCallback" />  
  32.                         </entry>  
  33.                     </map>  
  34.                 </constructor-arg>  
  35.             </bean>  
  36.         </jaxws:inInterceptors>  
  37.     </jaxws:endpoint>  
  38.   
  39.     <bean id="serverPasswordCallback"  
  40.         class="com.itdcl.ws.ServerPasswordCallback" />  
  41.   
  42. </beans>  


    action:UsernameToken指使用用户令牌 
    passwordType:PasswordText指密码加密策略,这里直接文本 
    user:cxfServer指别名 
    passwordCallBackRef:serverPasswordCallback指消息验证 

    消息验证类:

Java代码    收藏代码
  1. package com.itdcl.ws;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.security.auth.callback.Callback;  
  6. import javax.security.auth.callback.CallbackHandler;  
  7. import javax.security.auth.callback.UnsupportedCallbackException;  
  8.   
  9. import org.apache.ws.security.WSPasswordCallback;  
  10.   
  11. public class ServerPasswordCallback implements CallbackHandler {  
  12.   
  13.     public void handle(Callback[] callbacks) throws IOException,  
  14.             UnsupportedCallbackException {  
  15.         WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];  
  16.         String pw = pc.getPassword();  
  17.         String idf = pc.getIdentifier();  
  18.         System.out.println("password:"+pw);  
  19.         System.out.println("identifier:"+idf);  
  20.         if (pw.equals("josen") && idf.equals("admin")) {  
  21.             // 验证通过  
  22.         } else {  
  23.             throw new SecurityException("验证失败");  
  24.         }  
  25.     }  
  26.   
  27. }  


     消息验证类通过实现CallbackHandler接口,实现handle方法来进行用户认证。 

     那么,客户端又怎样来验证消息是否确呢。

Java代码    收藏代码
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  4.     xmlns:jaxws="http://cxf.apache.org/jaxws"  
  5.     xsi:schemaLocation="  
  6.         http://www.springframework.org/schema/beans   
  7.         http://www.springframework.org/schema/beans/spring-beans-2.0.xsd  
  8.         http://cxf.apache.org/jaxws   
  9.         http://cxf.apache.org/schemas/jaxws.xsd">  
  10.   
  11.     <jaxws:client id="service"  
  12.         address="http://localhost:9999/cxf/Service"  
  13.         serviceClass="com.itdcl.service.IService">  
  14.         <jaxws:outInterceptors>  
  15.             <bean  
  16.                 class="org.apache.cxf.interceptor.LoggingOutInterceptor" />  
  17.             <bean  
  18.                 class="org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor" />  
  19.             <bean  
  20.                 class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">  
  21.                 <constructor-arg>  
  22.                     <map>  
  23.                         <entry key="action" value="UsernameToken" />  
  24.                         <entry key="passwordType"  
  25.                             value="PasswordText" />  
  26.                         <entry key="user" value="cxfClient" />  
  27.                         <entry key="passwordCallbackRef">  
  28.                             <ref bean="clientPasswordCallback" />  
  29.                         </entry>  
  30.                     </map>  
  31.                 </constructor-arg>  
  32.             </bean>  
  33.         </jaxws:outInterceptors>  
  34.     </jaxws:client>  
  35.   
  36.     <bean id="clientPasswordCallback"  
  37.         class="com.itdcl.ws.ClientPasswordCallback" />  
  38. </beans>  



    客户端在发送SOAP时对消息对认证,策略跟服务端一样。但是认证类有所区别:

Java代码    收藏代码
  1. package com.itdcl.ws;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.security.auth.callback.Callback;  
  6. import javax.security.auth.callback.CallbackHandler;  
  7. import javax.security.auth.callback.UnsupportedCallbackException;  
  8.   
  9. import org.apache.ws.security.WSPasswordCallback;  
  10.   
  11. public class ClientPasswordCallback implements CallbackHandler {  
  12.   
  13.     public void handle(Callback[] callbacks) throws IOException,  
  14.             UnsupportedCallbackException {  
  15.         for(int i=0;i<callbacks.length;i++)  
  16.         {  
  17.              WSPasswordCallback pc = (WSPasswordCallback)callbacks[i];  
  18.              pc.setPassword("josen");  
  19.              pc.setIdentifier("admin");  
  20.         }  
  21.     }  
  22.   
  23. }  


     客户端在发送消息,设置好用户名和密码。服务端用相应的用户名和密码进行验证。 

     令牌验证就如此简单。

 

rongdmmap
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CXF+WS-Security+Spring WebService服务器端+客户端及注意问题
哓白的专栏
05-15 1147
项目中要用到webservice,刚听到的时候还挺开心的,因为我之前接触过,想来应该不是很难,。 谁料,事实不是这样的....,让我费了个好劲啊。 不说了,下面上代码,这是入门级的,所以会比较详细,仔细看: 服务器端:        1、接口+实现类         //接口 package com.ekservice.service; import javax.jws.We
java调用ws-security+CXF实现的webservice安全接口
08-31
java调用ws-security+CXF实现的webservice安全接口
WebService CXF学习高级2):CXF+Spring+Hibernate
oneGeng的专栏
11-02 3376
<br />前一节仅仅只讲了与Spring整合,没有涉及到数据库,而且是直接将Java象传递到服务端。这一节我起到一个回顾前面章节的作用。用在客户端运用JABX将JAVA对象编组成XML文件,在客户端将XML解组成JAVA并存入数据库。下面我们就着手开发这个Demo: <br />    服务端开发 <br />    第一步,编写数据资源层相关接口 <br />    DAO编写: <br />    Java代码 public interface HibernateDao {            p
cxf+ws-security-JAR
08-31
综上所述,"cxf+ws-security-JAR"是针对Web服务安全调用的解决方案,通过Apache CXFWS-Security标准,为Web服务提供了强大的安全保障,确保了敏感数据的传输安全和用户身份的有效验证。这个JAR包很可能包含了一些...
Cxfwss4j实现ws-security的demo
08-22
CXF使用WSS4J实现WS-Security规范,本例的配置是Timestamp Signature Encrypt,具体使用可以参考我的博客http://blog.csdn.net/wangchsh2008/article/details/6708270
WebService CXF学习-入门.pdf
10-26
**WebService CXF 学习——入门** **一、WebService CXF 由来与目标** Apache CXF 是一个流行的开源框架,它源自 ObjectWeb Celtix 和 CodeHaus XFire 的合并,这两个项目分别由 IONA 公司和业界知名SOAP堆栈...
WebService-CXF学习.doc
最新发布
08-12
CXF支持多种标准,如JAX-WS、JSR-181、SAAJ、JAX-RS等,以及SOAP 1.1和1.2、WSDL 1.1等协议,并具备WS-SecurityWS-Addressing等企业级服务质量(QoS)功能。 CXF支持多种数据绑定和传输方式,如SOAP、REST/HTTP,...
cxf ws-security客户端调用
bbrruucc的博客
04-12 306
cxf ws-security客户端调用: JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean(); Map outProps = new HashMap(); outProps.put(WSHandlerConstants.ACTION, "UsernameToken Timestamp"); outProps.put(...
CXF之九 WS-Security
weixin_34342578的博客
01-06 231
Webservice安全 Webservice为作为方便的服务被用广大领域使用的同时,也成为了黑客们的美食。在这里,本文将就目前对Webservice安全所能做的改进做简单介绍。在Webservice中的安全主要分为以下三个方面。传输 SSL/HTTPS 对连接加密,而不是传输数据消息 数据加密(XML Encryption) 数字签名(XML-DSIG)底层架构 ...
Cxf+wss4j的WS-Security实现
热门推荐
08-22 1万+
最近一个项目预研,需要使用webservice,进行消息安全传输,客户要求包括加密和认证。我们使用的ws框架是cxf,认证是很容易做的,通过自定义实现一个Interceptor,就可以进行简单的用户和密码认证。但加密从来没有做过,在网上做了一些工作之后,发现cxf是可以通过wss4j实现签名、加密的。 根据网上的资料,做了一个demo,上传位置在:https://download.csdn.net...
基于CXF webservice(3)高级属性之拦截器(interceptor)
tianjun2012的专栏
08-07 1973
webservice中用来对消息进行填充,验证,等预处理的高级特性。个人感觉比较重要,实用价值比较高。
基于CXF WebService(4)高级属性之Invoker
tianjun2012的专栏
08-11 553
找个时间不上
cxf+spring实现ws-security的数字证书验证方式的记录(包括生成证书步骤)
学而不思
07-28 2418
第一步 生成可用的数字证书 使用命令行打开您要生成数字证书的路径 生成证书还是比较麻烦的,要用到jdk的一个工具——keytool  首先,创建客户端KeyStore和公钥  在命令行运行:  1、创建私钥和KeyStore: keytool -genkey -alias clientprivatekey -keypass keypass -keystore Client_KeyS
Cxf+wss4j的WS-Security实现【未验证】
Thinking
07-18 1360
文章来源:http://blog.csdn.net/wangchsh2008/article/details/6708270 最近一个项目预研,需要使用webservice,进行消息安全传输,客户要求包括加密和认证。我们使用的ws框架是cxf,认证是很容易做的,通过自定义实现一个Interceptor,就可以进行简单的用户和密码认证。但加密从来没有做过,在网上做了一些工作之后,发
记一次webservicews-security开发过程
zt307484565的博客
06-11 299
http://www.blogjava.net/zljpp/archive/2012/04/15/374371.html ws-security对验证的过程是支持多种方式的, 先写个UsernameToken的 服务端接口 @WebService() public interface WebServiceSample { String say(String name); ...
JAVA WebServiceCXF详解:JAX-WS、JAX-RPC与JAX-RS
此外,CXF还提供了丰富的功能,如WS-Security安全性)、MTOM(Message Transmission Optimization Mechanism,消息传输优化机制)和XOP(XML-binary Optimized Packaging,XML二进制优化打包)等,以增强Web服务的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值