Webservice架构设计

最新推荐文章于 2022-12-17 21:38:24 发布
最新推荐文章于 2022-12-17 21:38:24 发布
阅读量1.6k 收藏 1
点赞数

关于j2ee中webservice的搭建以及不同系统中的访问,我已经在一篇博文《webservice之cxf实现》中进行了介绍,下面我们来谈谈webservice的架构设计要考虑的一些因素。

  最首要的因素就是安全性,比如:如果验证调用者的合法身份?如果保证数据传输的安全性?等等。

  先来看调用者身份的合法性验证问题。一般情况下ws底层使用http做为传输协议,http本身是无状态的,所以,我们要确保调用者的唯一身份,就要求调用者在调用时,携带身份标识参数。身份标识可以采用用户名加密码的方式实现,webservice标准中ws-security部分已经有了相应的标准。

  第二个问题是数据传统过程中的安全性问题,服务器端和客户端如何知道信息的来源可靠、真实。其实这个问题在互联网应用中广泛存在的问题,并不是webservice考虑的范畴,但是,ws底层采用http协议传输,固然存在安全情况的问题(如果仅仅在公司内部局域网中的服务器群中调用,安全性要求就没有这么高了,呵呵)。

  http验证信息的准确性,可采用的方式很多,比如:md5签名,时间戳、消息自身加密、https等等,下面我们先来看使用cxf如何对用户验证,并确保信息的安全性。

  在服务器端,通过AuthCheckOnServer类对用户名密码进行验证,在配置com.my.webservice.WebServiceFacadeImpl的时候通过拦截器加入AuthCheckOnServer,注意,在action中加了Timestamp,而passwordType采用PasswordDigest,实现密码部分的加密(你可以通过抓包工具观察密码加密效果),服务器上拦截类代码如下:

AuthCheckOnServer.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14

public class AuthCheckOnServer implements CallbackHandler {
  @Override
  public void handle(Callback[] callbackArray) throws IOException,
          UnsupportedCallbackException {
      if (callbackArray.length > 0) {
          WSPasswordCallback pc = (WSPasswordCallback)callbackArray[0];
          String userId = pc.getIdentifier();
          System.out.println("server得到用户名:" + userId );
          String password = "此处根据用户标识userId,通过service(或dao)查询该用户的密码,我略去了...";
          //设置好用查出的密码,此处是明文,cxf自动生成密文并进行校验
          pc.setPassword(password);
      }
  }
}

服务器ws服务类配置如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<jaxws:endpoint id="myWebService" address="/myWebService"
      implementor="com.my.webservice.WebServiceFacadeImpl">
      <jaxws:inInterceptors>
          <bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
          <bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
              <constructor-arg>
                  <map>
                      <entry key="action" value="Timestamp UsernameToken" />
                      <entry key="passwordType" value="PasswordDigest" />
                      <entry key="passwordCallbackClass" value="com.my.webservice.AuthCheckOnServer" />
                  </map>
              </constructor-arg>
          </bean>
      </jaxws:inInterceptors>
  </jaxws:endpoint>

  在cxf的客户端调用代码中,也加上拦截器,在调用请求中加入用户名及密码相关信息,客户端拦截类代码如下:

AuthPrepareProcesser4Client.java 
1
2
3
4
5
6
7
8
9
10
11
12

public class AuthPrepareProcesser4Client implements CallbackHandler {
@Override
public void handle(Callback[] callbackArray) throws IOException,
      UnsupportedCallbackException {
  if (callbackArray.length > 0) {
      WSPasswordCallback pc = (WSPasswordCallback)callbackArray[0];
      pc.setPassword("123");
      pc.setIdentifier("yanwawa");
      System.out.println("Client setting userName and password OK.");
  }
}
}

  客户端spring的客户端配置代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

<bean id="wsClient" class="com.my.webservice.IWebServiceFacade"
      factory-bean="wsClientProxy" factory-method="create" />
  <bean id="wsClientProxy" class="org.apache.cxf.jaxws.JaxWsProxyFactoryBean">
      <property name="serviceClass" value="com.my.webservice.IWebServiceFacade" />
      <property name="address"
          value="http://localhost:8088/web_service_server/services/myWebService" />
      <property name="inInterceptors">
          <list>
              <ref bean="logIn" />
          </list>
      </property>
      <property name="outInterceptors">
          <list>
              <ref bean="logOut" />
              <ref bean="saajOut" />
              <ref bean="wss4jOut" />
          </list>
      </property>
  </bean>
  <bean id="wss4jOut" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
      <constructor-arg>
          <map>
              <entry key="action" value="Timestamp UsernameToken" />
              <entry key="user" value="yanwawa" />
              <entry key="passwordType" value="PasswordDigest" />
              <entry key="passwordCallbackClass" value="com.my.webservice.AuthPrepareProcesser4Client" />
          </map>
      </constructor-arg>
  </bean>
  <bean id="logIn" class="org.apache.cxf.interceptor.LoggingInInterceptor" />
  <bean id="logOut" class="org.apache.cxf.interceptor.LoggingOutInterceptor" />
  <bean id="saajOut" class="org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor" />

  当然,要以axis的soap客户端调用,代码要复杂一些,会用到WSSecEncrypt等几个类,也就是用这些类来帮助我们生成要发送的消息体,具体实现请参考axis的sample。

  在传输过程中,为了确保数据的安全,我们可以在服务器上配置https支持,保证传输中的数据相对安全。

  下面我给出另外一种不依赖ws-security的调用方式,当然,我是借鉴网上支付的数字签名的设计方式(网上支付实现请参阅《项目集成第三方支付设计方案》),即完全由程序自己来实现用户身份的验证,这种方案相对来说比较通用。

  类图设计如下所示:

webservice sign架构图

  在这种设计方案中,ws调用被封装到外观中,由于这种方式需要客户端上传用户id以及验证签名,所以外观类中的所有方法签名都带有这两个参数,似乎有了入侵,但话又说回来,这种方式并不影响service对象的方法设计,而且这种设计更有利于其它非java系统的ws调用。

  非核心代码我都略去了,仅贴出客户端调用及服务器端验证的sayHello、add方法代码片断,客户端代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

BeanFactory bf = new ClassPathXmlApplicationContext("classpath:ws-client.xml");
      IWebServiceFacade wsClient = (IWebServiceFacade)bf.getBean("wsClient");
      String clientId = "1";
      String privateKey = "client1_md5_privateKey";
      Map reqMap = new HashMap();
      reqMap.put("name", "yanwawa");
      String sign = SignatureHelper.sign(reqMap, privateKey);
      String sayHelloResult = wsClient.sayHello("yanwawa", clientId, sign);
      System.out.println(sayHelloResult);
      reqMap = new HashMap();
      reqMap.put("number1", "9");
      reqMap.put("number2", 2);
      sign = SignatureHelper.sign(reqMap, privateKey);
      int addResult = wsClient.add("9", 2, clientId, sign);
      System.out.println(addResult);

  服务器端代码:

WebServiceFacadeImpl.java 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

@WebService(endpointInterface="com.my.webservice.IWebServiceFacade")
public class WebServiceFacadeImpl implements IWebServiceFacade {
  //业务接口,由spring注入
  private IBizService bizService;
  @Override
  public String sayHello(String name, String clientId, String signStr) {
      //auth check
      String privateKey = bizService.getClientPrivateKey(clientId);
      Map reqMap = new HashMap();
      reqMap.put("name", name);
      if (SignatureHelper.verifySignCode(reqMap, privateKey, signStr)) {
          return bizService.sayHello(name);
      } else {
          //log and throws Exception
          throw new IllegalArgumentException("calling ws method 'sayHello', sign code error!");
      }
  }
  public int add(String number1, int number2, String clientId, String signStr) {
      //auth check
      String privateKey = bizService.getClientPrivateKey(clientId);
      Map reqMap = new HashMap();
      reqMap.put("number1", number1);
      reqMap.put("number2", number2);
      if (SignatureHelper.verifySignCode(reqMap, privateKey, signStr)) {
          return bizService.add(number1, number2);
      } else {
          //log and throws Exception
          throw new IllegalArgumentException("calling ws method 'add', sign code error!");
      }
  }
//……………………….其它代码略

  总的来说,用第一种用户名加密码的方式确保用户的每一次调用的合法性在cxf中是不错的选择,因为它是在拦截器加入用户名及密码信息,服务器端的验证也是在拦截器中做的,因此,这种方式的代码看起来更简洁,可读性更好。

  第二种方式类似于的线支付的签名验证方式,比较通用,但是方法签名都要携带验证信息,看起来比较累赘,但由于http的无状态性,身份标识每次都提交到服务器是一种比较简单的方法。第二种方式还有一个问题需要注意,就是客户端也要通过签名验证返回消息的合法性,

  当然,任何东西都有两面性,好比一把“双刃剑”,我们只有根据项目的实际需求,平衡各种因素,扬长避短,选择最适合、最实用的一种方式,解决问题才是最终的目的。


smallTengGer
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web service概念、架构及相关知识
liu_shi_jun的专栏
04-11 1万+
一、WebService的定义WebService有好几种定义: W3C组织对其定义:WebService是一个软件系统,为了支持跨网络的机器间互操作交互而设计。 WebService通常被定义为一组模块化的API,我们可以通过网络进行调用,来执行远程系统的请求服务。 WebService就是暴露给外部使用的,可通过web调用的一组API。 WebService是一种跨编程语言和跨操作系统平台的远程
WebService Soap架构设计
煙雨六月
03-10 903
上图说明:        WebServices是web服务页面.asmx。将请求发来的xml反序列化成RequetModelService实体,然后调用FactoryService,根据传过来的编号映射到对应的BLLService类,同时也将xml反序列化成的RequetModelService实体传给对应的BLLService类,进行对应的业务逻辑处理。        BLLService
WebService应用的高层架构图
12-14 3198
   WebService是什么?这个问题不太好回答,不过我觉得下面这幅图能给予你启示:可以看出,传统的应用程序一般是通过操作系统层管理计算机的各种资源,它面对的是计算机上的各种资源。而WebService则是面对Internet上的各种资源。我相信这幅图能够给你一个清晰的答案。还有一句话想告诉大家,那就是,作为一个开发人员应该深刻理解我们做的东西在高层架构图中属于哪个位置,这样会更有利于我们
系统调用接口方案--WebService
.
03-04 1万+
webservice是一个 SOA(面向服务的编程)的架构,它是不依赖于语言,不依赖于平台,可以实现不同的语言间的相互调用,通过 Internet 进行基于 Http 协议的网络应用间的交互。 1、异构系统(不同语言)的整合 2、不同客户端的整合 浏览器、手机端(android,ios.塞班)、微信端、PC端等终端来访问 场景: 天气预报:可以通过实现we...
WebService的简介, 原理, 使用
热门推荐
X-Teamer提炼商业万有引力模型, 低成本定制化开发
05-04 2万+
云计算的时代, 大有可为的依然是Server端. WebService也不是一种新技术, 只是一种简洁的技术, 比较方便的给客户端提供友好的接口。 这篇文章就好好理解一下, WebService框架的使用和原理。
webservice 架构设计 步骤 代码示例说明
05-13
本教程将详细阐述Web服务的架构设计步骤,以及相关的代码示例。 一、Web服务架构设计 1. WSDL(Web Services Description Language):WSDL文件是Web服务的核心,它定义了服务接口,包括服务提供的操作、消息格式...
完整的webservice架构源代码
07-28
本资源提供的"完整的webservice架构源代码"是一个可以直接运行的Web服务示例,对于理解Web服务的工作原理以及开发实践具有很高的参考价值。 在Web服务中,SOAP(Simple Object Access Protocol)是主要的消息协议,...
系统架构设计师 复习精华
10-12
对于.NET平台的架构设计,熟悉CLR、继承特性、委托和事件处理等基础知识,以及ASP.NET WebService、.NET Remoting和企业服务组件等解决方案,是提升架构设计可行性的关键。 此外,行业业务知识和商业头脑同样关键。...
webservice技术架构
08-14
Web Services技术架构是一种用于构建分布式系统的技术,它允许不同的应用程序和服务之间进行通信和交互,不受平台、编程语言或地理位置的限制。Web Services的核心优势在于其跨平台、跨语言的互操作性和灵活性,使得...
webService
06-16
首先,我们需要理解WebService的基本架构。一个完整的WebService通常包含以下几个关键部分: 1. WSDL(Web Service Description Language):这是WebService的接口定义语言,用于描述服务提供的操作、输入和输出...
WebService接口设计
12-23
给出一个实例,详细讲述web服务接口的设计
webservice简介及架构
07-26
详细的介绍webservice,用图文详细的说明webservice架构
理解多层分布式架构、剖析webservice、remoting技术
u012135077的专栏
11-17 2273
客户端调用时需要生成一个代理类   WCF的宿主程序: IIS、控制台程序、。。。   高层不应该依赖于底层,而是应该依赖于抽象;在高层与底层之间形成一个抽象层。 也就是说高层与底层之间的依赖是松散的,松散耦合。 契约式编程带来的意义:接口的意义。   如果我们采用类库的形式  它会给我们提供测试客户端。   服务是一组向客户端提供可用功能的端点(Endpoints)。而端
分布式系统系列(二)---Web Service原理
信息技术提高班第九期
04-29 3917
众所周知,异构系统之间使用Web Service比较合适,上面一篇介绍了EJB,EJB是业务逻辑的分布式,是系统内部的调用。而Web Service比较适合用于系统间的调用。   什么需要用到WebService,举例说明:          比如说天气预报,股市,地图等都是需要从互联网上的其他系统服务器获取的,它向外界暴露出一个能够通过Web进行调用的API,通过API去获取数据。
Java开发中经常使用到的几种WebService技术实现方案
zolalad的专栏
05-06 2万+
Java开发中经常使用到的几种WebService技术实现方案   一、    基于SOAP的WebService解决方案 1 、SOAP协议 简单对象访问协议是交换数据的一种协议规范,是一种轻量的、简单的、基于XML(标准通用标记语言下的一个子集)的协议,它被设计成在WEB上交换结构化的和固化的信息。 2、SOAP与JAX-WS的关系 JAX-WS 是SOAP技术的一个Java实现规
WebService基于Baidu OCR和Map API的导航服务
最新发布
lqm1094583745的博客
12-17 766
本项目的主要流程是针对于用户所上传的路牌、路标图片等信息,首先利用Baidu-OCR-API服务识别出图片内容的信息,其次用户编辑识别出的文本信息,最终将文本传递给 Baidu 地图 API实现最终的导航服务。
webservice的服务端和客户端的配置文件
caiqiandu的博客
03-17 2184
webservice 常用的数据格式: json({}[]) xml(特点标签&lt;&gt;&lt;/&gt;) 采用的传输协议: soap 它是用于交换(传输)XML(数据 格式/结构)编码信息的轻量级协议 WSDL: Web Service描述语言,用于描述Web Service及其函数、参数和返回值 ...
面向服务的软件架构--WebService
一个人走的博客
04-09 1133
文章目录1. 什么是web服务:1.1 简介: 1. 什么是web服务: 常见的web服务:淘宝、京东、天气预报、新闻。。。 1.1 简介: webservice即web服务,它是一种跨编程语言和跨操作系统平台的远程调用技术 java中共有三种WebService规范,分别是 JAX-WS(JAX-RPC)、JAXM&SAAJ、JAXRS webService的三要素:soap wsdl uddi ...
webservice接口开发详解(附完整流程demo)
weixin_43827248的博客
07-22 2万+
摘要 由于公司对接第三方系统业务较多,所以就采用webservice进行对接,本文项目框架使用SSH搭建,其他框架也可以参考下具体使用流程,本文demo都是测试通过而且发布成功,有需要的可以直接copy根据自己的业务需求进行修改,这里的demo只能给大家一个参考,不能照搬。废话不多说,直接上代码。有需要的伙伴可以参考借鉴一下。 准备工作 下载cfx所需jar包(使用cfx方式) 1.1 下载地址:点击----->apache-cxf-2.6.16下载 1.2 下载完成后解压放入项目lib目录下重新

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值