1.http://www.ibm.com/developerworks/cn/edu/j-dw-java-cxf.html CXF简介
2.http://www.ibm.com/developerworks/cn/webservices/ws-secure/ ws-security
3.http://wiki.springside.org.cn/display/calvin/CXF?decorator=printable 入门
4.http://blog.sina.com.cn/s/blog_5443f53b0100053e.html 用户名/密码验证
WS-Security 提供了无限多种方法来验证用户。规范中说明了其中的三种方法:
1、用户名/密码
2、通过 X.509 证书的 PKI
3、Kerberos
1.用户名/密码
用于传递调用方凭据的最常见方法之一是使用用户名和密码。这是一项用于 HTTP 基本身份验证和简要身份验证的技术。实际上,如果您熟悉 HTTP 简要身份验证的工作原理,就可以灵活地运用这一身份验证机制。
为了以此方式传递用户凭据,WS-Security 定义了 UsernameToken 元素。
<wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>
以上是以纯文本格式发送的密码示例。该解决方案看上去很容易遭到破坏。如果希望以更安全的方式发送密码,可以发送它的简要散列。
<wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordDigest">
KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
<wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
<wsu:Created xmlns:wsu=
" http://schemas.xmlsoap.org/ws/2002/07/utility">
2002-08-19T00:44:02Z
</wsu:Created>
</wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordDigest">
KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
<wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
<wsu:Created xmlns:wsu=
" http://schemas.xmlsoap.org/ws/2002/07/utility">
2002-08-19T00:44:02Z
</wsu:Created>
</wsse:UsernameToken>
使用 SHA1 散列会使密码变得不易识别,因而可以增加安全性。密码简要散列是随机内容、创建时间与密码的组合。随机内容的长度是 16 字节,以 base64 编码值的形式传递。其工作原理是客户端使用所有这些信息加上密码来创建密码散列。
接收方通过获取其中的密码并再次创建散列来验证此数据。如果结果一致,则表明密码正确。但这种保护方式不能防范重复攻击。如果使用这种保护方式,请确保包括一个 wsu:Timestamp 标头,其中包含一个足够小的时间窗口,用以提供创建时间值和过期时间值。然后,对消息中的 wsu:Timestamp 元素进行签名,以便可以检测到对时间戳的任何篡改。否则,攻击者可能使用完整的 UsernameToken 攻击您的 Web 服务。为防范重复攻击,您还需要包含一个机制,用于跟踪传入消息的某个唯一特性。这种机制需要将此特性保存到缓存中,并且至少持续到消息超时。
4.运行服务端和客户端日志的解释:
2010-7-9 8:58:48 org.apache.cxf.interceptor.LoggingOutInterceptor$LoggingCallback onClose
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope> <soap:Envelope>
--------------------------------------
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope> <soap:Envelope>
--------------------------------------
Inbound Message 输出的是服务器端接收到的SOAP信息
Outbound Message 输出的服务器端响应的SOAP信息
Headers: 它前面是SOAP消息的标识、编码方式、MIME类型,{}是消息报头
Payload:
SOAP消息的真正内容,如果你的某些注解的header=true,那么它将被放到<soap:Header>中传输,而不是SOAP消息正文。
UTPasswordCallback.java:
你会发现Digest密文密码情况下,UTPasswordCallback的
password属性((WSPasswordCallback)callbacks[i].getPassword())为null,你能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询密码,然后再设置到password属性,
WSS4J会自动比较客户端传来的值和你设置的这个值。你可能会问为什么这里CXF不把客户端提交的密码传入让我们在ServerPasswordCallbackHandler中比较呢?如果我们要在回调方法中作比较,那么第一步要做的就是把服务端准备好的密码加密为Md5字符串,由于Md5算法参数不同结果也会有差别,另外,这样的工作CXF替我们完成不是更简单吗?
1483
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
