webService----wss4j+cxf实现WS-Security(基于UsernameToken)

最新推荐文章于 2024-05-01 19:10:24 发布
最新推荐文章于 2024-05-01 19:10:24 发布
阅读量514 收藏 1
点赞数
分类专栏: soa之webservice 文章标签: java c# 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012524790/article/details/84409202
版权

    最近研究了下webservice,今天和大家分享一下wss4j+cxf基于UsernameToken的安全验证。名词解释:      

      cxf         : apache下的一个开源项目,用于发布webservice。
      WSS4J  : Web Services Security for Java. 


废话少说,直接上代码。
    1. 首先,需要导入cxf中的所有jar包,及wss4j中的所有jar包与log4j.jar。
          (本例中使用的版本是:apache-cxf-2.7.3,wss4j-1.6.9)
  

  2. 首先建立server 项目,发布一个简单的helloWorldService. 

 

目录结构图:



 

 
    webservice接口代码:
   

package com.wss4j.server;

import javax.jws.WebParam;
import javax.jws.WebService;

@WebService
public interface HelloWorld {
	public String sayHello(@WebParam(name = "name") String name);
}

 webservice实现类

 

 

package com.wss4j.server;


public class HelloWorldImpl implements HelloWorld {

	@Override
	public String sayHello(String name) {
		return "Hello " + name + " ^_^ !";
	}

}

 

 

 接下来是服务端拦截器: ServerPasswordCallback.java

 

package com.wss4j.interceptor;

import java.io.IOException;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;
import org.slf4j.Logger;

public class ServerPasswordCallback implements CallbackHandler {

	private Logger logger = org.slf4j.LoggerFactory.getLogger(ServerPasswordCallback.class);

	@Override
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
		// 标识符
		String identifier = pc.getIdentifier();
                // 此处获取到的password为null,但是并不代表服务端没有拿到该属性。
		String password = pc.getPassword();
		logger.info("identifier:" + identifier);
		logger.info("password:" + password);
		
		if (identifier != null && identifier.equals("admin")) {
			/** 
			 * 此处应该这样做:
				 * 1. 查询数据库,得到数据库中该用户名对应密码
				 * 2. 设置密码,wss4j会自动将你设置的密码 与客户端传递的密码进行匹配
				 * 3. 如果相同,则放行,否则返回权限不足信息 
			 * 
			 */
			pc.setPassword("password");
		}else{
			logger.info("未授权的用户");
		}
	}
}

 

 

server-beans.xml

 

<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:cxf="http://cxf.apache.org/core"
	xmlns:jaxws="http://cxf.apache.org/jaxws"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://cxf.apache.org/core http://cxf.apache.org/schemas/core.xsd
						http://cxf.apache.org/jaxws
						http://cxf.apache.org/schemas/jaxws.xsd">

	<!-- jar包中自带的cxf文件夹下的*.xml文件 -->

	<import resource="classpath:META-INF/cxf/cxf.xml" />

	<import resource="classpath:META-INF/cxf/cxf-extension-soap.xml" />

	<import resource="classpath:META-INF/cxf/cxf-servlet.xml" />
	<bean id="myPasswordCallback" class="com.wss4j.interceptor.ServerPasswordCallback" />

	<jaxws:endpoint id="helloword" implementor="com.wss4j.server.HelloWorldImpl"
		address="/helloService">
		<!-- 添加拦截器 -->
		<jaxws:inInterceptors>
			<bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
				<constructor-arg>
					<map>
						<entry key="action" value="UsernameToken" />
						<entry key="passwordType" value="PasswordText" />
						<entry key="signaturePropFile" value="..." />
						<entry key="user" value="FHDServer" />
						<entry key="passwordCallbackRef">
							<ref bean="myPasswordCallback" />
						</entry>
					</map>
				</constructor-arg>
			</bean>
		</jaxws:inInterceptors>
	</jaxws:endpoint>
	
</beans>

 

 

beans.xml

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xmlns:jaxws="http://cxf.apache.org/jaxws"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://cxf.apache.org/jaxws
						http://cxf.apache.org/schemas/jaxws.xsd">

 	<import resource="../cxf/server-beans.xml"/>
</beans>

 

 

web.xml

 

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
	id="WebApp_ID" version="3.0">
	<display-name>wss4j001-cxf-server</display-name>
	<welcome-file-list>
		<welcome-file>index.html</welcome-file>
		<welcome-file>index.htm</welcome-file>
		<welcome-file>index.jsp</welcome-file>
		<welcome-file>default.html</welcome-file>
		<welcome-file>default.htm</welcome-file>
		<welcome-file>default.jsp</welcome-file>
	</welcome-file-list>
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:spring/beans.xml</param-value>
	</context-param>
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>
	<servlet>
		<servlet-name>CXFServlet</servlet-name>
		<servlet-class>org.apache.cxf.transport.servlet.CXFServlet</servlet-class>
		<load-on-startup>2</load-on-startup>
	</servlet>
	<servlet-mapping>
		<servlet-name>CXFServlet</servlet-name>
		<url-pattern>/ws/*</url-pattern>
	</servlet-mapping>
</web-app>

 

 

  此时,我们的server端就已经搞定了。

       访问链接:http://localhost:8080/wss4j001-cxf-server/ws/helloService?wsdl

  即可看到刚刚发布的webservice的wsdl文件。但是不能直接访问方法,因为我们为其增加了安全校验。

 

接下来,创建client 端 项目。

   

具体项目结构如下:



 

HelloWorldClient.java

 

package com.wss4j.client;

import org.springframework.context.support.ClassPathXmlApplicationContext;

import com.wss4j.server.HelloWorld;

public class HelloWorldClient {
	public static void main(String[] args) {
		ClassPathXmlApplicationContext context = new ClassPathXmlApplicationContext(
				new String[] { "cxf/client-beans.xml" });
		HelloWorld client = (HelloWorld) context.getBean("client");
		String response = client.sayHello("Dan");
		System.out.println("Response: " + response);
		System.exit(0);
	}

}

 

 

 

客户端添加用户认证拦截器 ClientPasswordCallback.java

 

package com.wss4j.interceptor;

import java.io.IOException;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;

public class ClientPasswordCallback implements CallbackHandler {
	@Override
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
		String ident = "admin";
		String passwd = "password";
		pc.setPassword(passwd);
		pc.setIdentifier(ident);

	}
}

 

 

client-beans.xml

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:jaxws="http://cxf.apache.org/jaxws" xmlns:cxf="http://cxf.apache.org/core"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="
          http://www.springframework.org/schema/beans 
          http://www.springframework.org/schema/beans/spring-beans.xsd
          http://cxf.apache.org/core http://cxf.apache.org/schemas/core.xsd
          http://cxf.apache.org/jaxws 
          http://cxf.apache.org/schemas/jaxws.xsd">
	<bean id="clientPasswordCallback" class="com.wss4j.interceptor.ClientPasswordCallback" />
	
	<jaxws:client id="client" serviceClass="com.wss4j.server.HelloWorld"
		address="http://localhost:8080/wss4j001-cxf-server/ws/helloService">
		<jaxws:outInterceptors>
			<bean class="org.apache.cxf.interceptor.LoggingOutInterceptor" />
			<bean class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
				<constructor-arg>
					<map>
						<entry key="action" value="UsernameToken" />
						<entry key="passwordType" value="PasswordText" />
						<entry key="user" value="FHDClient" />
						<entry key="passwordCallbackRef">
							<ref bean="clientPasswordCallback" />
						</entry>
					</map>
				</constructor-arg>
			</bean>
		</jaxws:outInterceptors>
	</jaxws:client>

</beans>

 

 

接下来,我们需要通过wsdl 生成服务端webservice的客户端java文件。这里使用cxf的wsdl2java命令。

 

打开cmd命令行:

      1. 进入到 \apache-cxf-2.7.3\apache-cxf-2.7.3\bin 目录下

     

       2. 执行命令:

               wsdl2ava  -client http://localhost:8080/wss4j001-cxf-server/ws/helloService?wsdl          

 

     3. 生成的java文件就在 \apache-cxf-2.7.3\apache-cxf-2.7.3\bin 目录下,名为com的文件夹。复制文件夹至client项目的src下。

 

 

  接下来,首先将server项目添加到服务器中,启动服务器。然后执行 HelloWorldClient.java中的main方法,就可以访问服务端的webservice了,是不是so easy  ^_^ ..

 

有问题请咨询:

   QQ :269223361

 

 

 

u012524790
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CXF web service安全之Username Token Authentication
toweryangtao的专栏
03-18 5156
WS-Security安全标准头它允许你: •通过认证令牌服务之间 •加密消息或信息部分 •签署信息 •时间戳消息 CXF依靠WSS4J在很大程度上实现Web服务安全。在你自己的Web服务安全服务,可以通过使用WS安全策略,它提供了一个全面和复杂的接收消息的安全性能验证。一个非WS安全策略的方法通常是也可能通过CXF拦截器添加到您的服务和/或客户的详细阐述。下面通过一个实例简单介绍如何通
java调用ws-security+CXF实现webservice安全接口
08-31
java调用ws-security+CXF实现webservice安全接口
Cxf+wss4jWS-Security实现
热门推荐
08-22 1万+
最近一个项目预研,需要使用webservice,进行消息安全传输,客户要求包括加密和认证。我们使用的ws框架是cxf,认证是很容易做的,通过自定义实现一个Interceptor,就可以进行简单的用户和密码认证。但加密从来没有做过,在网上做了一些工作之后,发现cxf是可以通过wss4j实现签名、加密的。 根据网上的资料,做了一个demo,上传位置在:https://download.csdn.net...
webservice的安全问题
stay hungry ! stay foolish!
01-05 4254
                               webservice的安全问题     1 身份校验 1 在需要进行验证的接口中加入拦截器 2 对拦截器进行配置,对调用接口的身份进行拦截 3 usernameToken 2 信息加密 Wssj=webservice security for java      Wss4j安全策略 安全令...
wss4j和axis2实现WS-Security
玩一玩Java
11-25 327
一、wss4j简介 Wss4j是apache开发的,标准实现WS-Security(WebService安全)的开源项目,它提供了用户名令牌环验证(UsernameToken)和传递消息时保证信息的完整性和真实性等一些WebService安全保障。 二、环境准备 开发环境准备 在正式开始前还要去下载一个rampart-1.1.mar,下载地址http://www.apache...
Cxfwss4j实现ws-security的demo
08-22
CXF使用WSS4J实现WS-Security规范,本例的配置是Timestamp Signature Encrypt,具体使用可以参考我的博客http://blog.csdn.net/wangchsh2008/article/details/6708270
ws-securitywss4j的jar包
11-06
内含: ISNetworksProvider.jar tsik.jar ws-security.jar 和wss4j的所有包
ws-securitywss4j的jar包
11-07
ws-security 的三个jar包 和wss4j的所有jar包
cxf+ws-security-JAR
08-31
cxf结合ws-security实现webservice 用户名/密码身份认证安全调用,依赖包
wss4j-1.6.4.jar
06-15
wss4j-1.6.4.jar
最新的wss4j jar包
03-14
在官网找到的wss4j用到的jar包。亲测可用的。
wss4j的JAR包
03-21
Java 的类库用来对 SOAP 消息进行签名和校验,使用 Apache Axis 和 Apache XML-Security 项目。
JAVA中通过WSS4J实现WS-Security
显斌的技术Blog
12-08 5741
Implementing WS-Security with Java and WSS4J Many organizations have now implemented solutions based on the promise of Web services, exposing t
wss4j
wowoer的专栏
03-12 2400
Wss4j的学习----这是我第一次写东西。因为,我实在是发现了分享知识的重要性。因为现在的学习基本都是靠百度,google了。呵呵。进入正题。简单说明:wss4j是,axis的实现WS-Wecurity安全机制的一个框架。具备知识:java和axis知识。运行环境:至少可以跑起来一个axis的程序。哪怕是一个helloworld。必须的包:wss4j.jar官方地址:http:/
C#(C Sharp)学习笔记_类【十五】
最新发布
追求细节,成就完美
05-01 393
类(Class)是面向对象程序设计(OOP,Object-Oriented Programming)实现信息封装的基础。类是一种用户定义的引用数据类型,也称类类型。每个类包含数据说明和一组操作数据或传递消息的函数。类的实例称为对象。
链表刷题集
yajunjiao的专栏
04-30 546
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
java调用ws-security+axis实现webservice安全接口 调用
12-28
Java调用WS-Security Axis实现WebService安全接口,首先需要在Java代码中引入Axis相关的库,然后创建一个WebService客户端来调用目标WebService。在创建WebService客户端的过程中,需要配置WebService的安全凭据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值