webservice的安全机制1---users.lst

最新推荐文章于 2020-12-19 04:16:08 发布
最新推荐文章于 2020-12-19 04:16:08 发布
阅读量563 收藏
点赞数
文章标签: webservice

本节摘要:本节主要介绍webservice的安全机制。

 

1.引言

  俗话说,安全第一;

  那么,我们软件中是否有安全,安全是否重要呢?

  sure,软件开发中当然也有安全,安全显得尤为重要。

  本节,我们将一起来看看webservice的安全问题。

  之前在前几节中写了webservice开发相关的知识,接下来几节我会写webservice安全相关的问题。

  闲扯一点,

  本来这部分在上个月就准备写的,但是确实是太忙了,每天加班,晚上回到家都快十一点了,偶尔还要通宵去上线,周末还要去奋战一天,实在是没那个精力,乘着今天下班早点,就来写写了,写博客也是我喜欢的事情嘛。

 

2.webservice安全机制分类

首先声明,这里的分类不一定准确,只是我站在目前的高度,对能了解到的,能想到的做一个简单的分类;再者,这里的分类都是站在代码的角度来写的,至于你说的防火墙、DMZ....这些都不在我的考虑范围之内。

(1)对webservice发布的方法,方法名称和参数不要使用望文生义的描述;

(2)对webservice发布的方法,在入参中增加一个或多个字符串序列;

      这里的字符串可以要求必须满足指定的格式,同时字符串可以再通过客户端传参数的时候加密,服务端解密;

(3)对webservice发布的方法,入参中加上用户名和密码,然后服务端通过数据库校验;

(4)对webservice发布的方法,通过handler/chain方式来实现验证(用户名&密码校验/IP地址校验等);

(5)对webservice发布的方法,采用webservice的users.lst来进行验证;

(6)对webservice发布的服务,通过servlet的Filter来实现验证;

(7)对webservice传输过程中的数据进行加密;

(8)自己写校验框架来实现webservice的安全;

(9)其它方式......

 各位大虾,认为还有哪些比较好的方式,欢迎指出。

 

3.webservice安全实现

    既然webservice的安全方式有那么多种,那么具体是怎么实现的呢?

    接下来几节,我会介绍webservice采用users.lst、chain、Filter实现webservice的方式;本节,就来介绍一下最简单的,采用webservice自带的users.lst的方式。

3.1开发一个基本的webservice

  项目结构图如下:

  

  (1)服务端代码:

  HelloServiceImpl.java

HelloServiceImpl.java 
 1 package server.service;
 2 
 3 public class HelloServiceImpl {
 4 
 5     public String hello(String s) {
 6         System.out.println("我是服务端......");
 7         System.out.println("方法的入参为:"+s);
 8         return "hello," + s;
 9     }
10 }

 (2)服务端wsdd文件的配置

  server-config.wsdd

server-config.wsdd 
<?xml version="1.0" encoding="UTF-8"?>
<deployment xmlns="http://xml.apache.org/axis/wsdd/"
    xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">
    <globalConfiguration>
        <parameter name="sendMultiRefs" value="true" />
        <parameter name="disablePrettyXML" value="true" />
        <parameter name="adminPassword" value="admin" />
        <parameter name="attachments.Directory"
            value="D:\tomcat5\webapps\WebService\WEB-INF\attachments" />
        <parameter name="dotNetSoapEncFix" value="true" />
        <parameter name="enableNamespacePrefixOptimization"
            value="false" />
        <parameter name="sendXMLDeclaration" value="true" />
        <parameter name="sendXsiTypes" value="true" />
        <parameter name="attachments.implementation"
            value="org.apache.axis.attachments.AttachmentsImpl" />
        <requestFlow>
            <handler type="java:org.apache.axis.handlers.JWSHandler">
                <parameter name="scope" value="session" />
            </handler>
            <handler type="java:org.apache.axis.handlers.JWSHandler">
                <parameter name="scope" value="request" />
                <parameter name="extension" value=".jwr" />
            </handler>
        </requestFlow>
    </globalConfiguration>
    <handler name="LocalResponder"
        type="java:org.apache.axis.transport.local.LocalResponder" />
    <handler name="URLMapper"
        type="java:org.apache.axis.handlers.http.URLMapper" />
    <handler name="Authenticate"
        type="java:org.apache.axis.handlers.SimpleAuthenticationHandler" />
    <service name="AdminService" provider="java:MSG">
        <parameter name="allowedMethods" value="AdminService" />
        <parameter name="enableRemoteAdmin" value="false" />
        <parameter name="className" value="org.apache.axis.utils.Admin" />
        <namespace>http://xml.apache.org/axis/wsdd/</namespace>
    </service>
    <service name="Version" provider="java:RPC">
        <parameter name="allowedMethods" value="getVersion" />
        <parameter name="className" value="org.apache.axis.Version" />
    </service>

    <transport name="http">
        <requestFlow>
            <handler type="URLMapper" />
            <handler
                type="java:org.apache.axis.handlers.http.HTTPAuthHandler" />
        </requestFlow>
        <parameter name="qs:list"
            value="org.apache.axis.transport.http.QSListHandler" />
        <parameter name="qs:wsdl"
            value="org.apache.axis.transport.http.QSWSDLHandler" />
        <parameter name="qs.list"
            value="org.apache.axis.transport.http.QSListHandler" />
        <parameter name="qs.method"
            value="org.apache.axis.transport.http.QSMethodHandler" />
        <parameter name="qs:method"
            value="org.apache.axis.transport.http.QSMethodHandler" />
        <parameter name="qs.wsdl"
            value="org.apache.axis.transport.http.QSWSDLHandler" />
    </transport>
    <transport name="local">
        <responseFlow>
            <handler type="LocalResponder" />
        </responseFlow>
    </transport>

    <!-- 配置自己的服务 -->
    <service name="HelloService" provider="java:RPC">
        <parameter name="allowedMethods" value="*" />
        <parameter name="className"
            value="server.service.HelloServiceImpl" />
    </service>

</deployment>

 (3)客户端代码

  Test.java

Test.java 
 1 package client;
 2 
 3 import java.net.URL;
 4 
 5 import javax.xml.rpc.ParameterMode;
 6 
 7 import org.apache.axis.client.Call;
 8 import org.apache.axis.encoding.XMLType;
 9 
10 public class Test {
11 
12     public static void main(String args[]) throws Exception {
13         webservice_user();
14     }
15 
16     public static void webservice_user() throws Exception {
17 
18         // 1.创建service对象,通过axis自带的类创建
19         org.apache.axis.client.Service service = new org.apache.axis.client.Service();
20 
21         // 2.创建url对象
22         String wsdlUrl = "http://localhost:8080/WebService06_Security/services/HelloService?wsdl";// 请求服务的URL
23         URL url = new URL(wsdlUrl);// 通过URL类的构造方法传入wsdlUrl地址创建URL对象
24 
25         // 2.创建服务方法的调用者对象call,设置call对象的属性
26         Call call = (Call) service.createCall();
27         call.setTargetEndpointAddress(url);// 给call对象设置请求的URL属性
28         String serviceName = "hello";// webservice的方法名
29         call.setOperationName(serviceName);// 给call对象设置调用方法名属性
30         call.addParameter("s", XMLType.XSD_STRING, ParameterMode.IN);// 给call对象设置方法的参数名、参数类型、参数模式
31         call.setReturnType(XMLType.SOAP_STRING);// 设置调用方法的返回值类型
32         //         call.setTimeout(new Integer(200));//设置超时限制
33 
34         // 4.通过invoke方法调用webservice
35         String str = new String("pantp");
36         String dept = (String) call.invoke(new Object[] { str });// 调用服务方法
37 
38         // 5.打印返回结果
39         System.out.println("我是客户端.......");
40         System.out.println(dept);
41     }
42 
43 }

 

3.2测试开发的webservice

   启动tomcat,发布工程。

   在浏览器中输入wsdl地址,运行结果图如下:

  

运行Test.java类:

   (1)客户端日志

   

   (2)服务端日志

   

 

3.3加上users.lst的验证

   (1)增加users.lst文件

   在工程的WEB-INF目录下新建文件users.lst,文件内容如下:

 

说明: 每一行表示一组用户名和密码,用户名和密码之前用空格隔开,第一个为用户名,第二个为密码;

   (2)在 server-config.wsdd文件中增加验证的配置

    修改后完整的文件如下:

server-config.wsdd 
 1 <?xml version="1.0" encoding="UTF-8"?>
 2 <deployment xmlns="http://xml.apache.org/axis/wsdd/"
 3     xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">
 4     <globalConfiguration>
 5         <parameter name="sendMultiRefs" value="true" />
 6         <parameter name="disablePrettyXML" value="true" />
 7         <parameter name="adminPassword" value="admin" />
 8         <parameter name="attachments.Directory"
 9             value="D:\tomcat5\webapps\WebService\WEB-INF\attachments" />
10         <parameter name="dotNetSoapEncFix" value="true" />
11         <parameter name="enableNamespacePrefixOptimization"
12             value="false" />
13         <parameter name="sendXMLDeclaration" value="true" />
14         <parameter name="sendXsiTypes" value="true" />
15         <parameter name="attachments.implementation"
16             value="org.apache.axis.attachments.AttachmentsImpl" />
17         <requestFlow>
18             <handler type="java:org.apache.axis.handlers.JWSHandler">
19                 <parameter name="scope" value="session" />
20             </handler>
21             <handler type="java:org.apache.axis.handlers.JWSHandler">
22                 <parameter name="scope" value="request" />
23                 <parameter name="extension" value=".jwr" />
24             </handler>
25         </requestFlow>
26     </globalConfiguration>
27     <handler name="LocalResponder"
28         type="java:org.apache.axis.transport.local.LocalResponder" />
29     <handler name="URLMapper"
30         type="java:org.apache.axis.handlers.http.URLMapper" />
31     <handler name="Authenticate"
32         type="java:org.apache.axis.handlers.SimpleAuthenticationHandler" />
33     <service name="AdminService" provider="java:MSG">
34         <parameter name="allowedMethods" value="AdminService" />
35         <parameter name="enableRemoteAdmin" value="false" />
36         <parameter name="className" value="org.apache.axis.utils.Admin" />
37         <namespace>http://xml.apache.org/axis/wsdd/</namespace>
38     </service>
39     <service name="Version" provider="java:RPC">
40         <parameter name="allowedMethods" value="getVersion" />
41         <parameter name="className" value="org.apache.axis.Version" />
42     </service>
43 
44     <transport name="http">
45         <requestFlow>
46             <handler type="URLMapper" />
47             <handler
48                 type="java:org.apache.axis.handlers.http.HTTPAuthHandler" />
49         </requestFlow>
50         <parameter name="qs:list"
51             value="org.apache.axis.transport.http.QSListHandler" />
52         <parameter name="qs:wsdl"
53             value="org.apache.axis.transport.http.QSWSDLHandler" />
54         <parameter name="qs.list"
55             value="org.apache.axis.transport.http.QSListHandler" />
56         <parameter name="qs.method"
57             value="org.apache.axis.transport.http.QSMethodHandler" />
58         <parameter name="qs:method"
59             value="org.apache.axis.transport.http.QSMethodHandler" />
60         <parameter name="qs.wsdl"
61             value="org.apache.axis.transport.http.QSWSDLHandler" />
62     </transport>
63     <transport name="local">
64         <responseFlow>
65             <handler type="LocalResponder" />
66         </responseFlow>
67     </transport>
68 
69     <!-- 配置自己的服务 -->
70     <service name="HelloService" provider="java:RPC">
71         <parameter name="allowedMethods" value="*" />
72         <parameter name="className"
73             value="server.service.HelloServiceImpl" />
74 
75         <!-- ===================采用webservice的users.lst的安全机制增加的配置部分 -->
76         <!-- 采用axis默认的handler来进行访问权限的控制 -->
77         <requestFlow>
78             <handler name="SimpleAuthenticationHandler"
79                 type="java:org.apache.axis.handlers.SimpleAuthenticationHandler" />
80         </requestFlow>
81         <!-- ===================采用webservice的users.lst的安全机制增加的配置部分 -->
82 
83     </service>
84 
85 </deployment>

 

   (3)在客户端请求代码中加入用户名和密码

    添加用户名和密码后完整的文件如下:

Test.java 
 1 package client;
 2 
 3 import java.net.URL;
 4 
 5 import javax.xml.rpc.ParameterMode;
 6 
 7 import org.apache.axis.client.Call;
 8 import org.apache.axis.encoding.XMLType;
 9 
10 public class Test {
11 
12     public static void main(String args[]) throws Exception {
13         webservice_user();
14     }
15 
16     public static void webservice_user() throws Exception {
17 
18         // 1.创建service对象,通过axis自带的类创建
19         org.apache.axis.client.Service service = new org.apache.axis.client.Service();
20 
21         // 2.创建url对象
22         String wsdlUrl = "http://localhost:8080/WebService06_Security/services/HelloService?wsdl";// 请求服务的URL
23         URL url = new URL(wsdlUrl);// 通过URL类的构造方法传入wsdlUrl地址创建URL对象
24 
25         // 2.创建服务方法的调用者对象call,设置call对象的属性
26         Call call = (Call) service.createCall();
27         call.setTargetEndpointAddress(url);// 给call对象设置请求的URL属性
28         String serviceName = "hello";// webservice的方法名
29         call.setOperationName(serviceName);// 给call对象设置调用方法名属性
30         call.addParameter("s", XMLType.XSD_STRING, ParameterMode.IN);// 给call对象设置方法的参数名、参数类型、参数模式
31         call.setReturnType(XMLType.SOAP_STRING);// 设置调用方法的返回值类型
32         //         call.setTimeout(new Integer(200));//设置超时限制
33 
34         //-----------------------------采用webservice的users.lst的安全机制增加的-------------------------------------
35         //此处的用户名和密码对应WEB-INF目录下users.lst文件中的用户名和密码
36         call.getMessageContext().setUsername("pantp");
37         call.getMessageContext().setPassword("123456");
38         //-----------------------------采用webservice的users.lst的安全机制增加的-------------------------------------
39 
40         // 4.通过invoke方法调用webservice
41         String str = new String("pantp");
42         String dept = (String) call.invoke(new Object[] { str });// 调用服务方法
43 
44         // 5.打印返回结果
45         System.out.println("我是客户端.......");
46         System.out.println(dept);
47     }
48 
49 }

 

3.4测试webservice通过users.lst实现的安全机制

(1)输入正确的用户名和密码

   客户端日志:

   

   服务端日志:

   

(2)输入错误的用户名或密码

    客户端日志:

    

    服务端日志:

    后台没有任何日志输出;

 

 总结:

开发通过webservice自带的验证机制实现步骤如下:

1.先不考虑安全机制的问题,开发一个需要的webservice服务和客户端,并测试通过;

2.在WEB-INF目录下新建一个文件users.lst,文件名必须一模一样,然后在文件中加入允许的用户名和密码;

3.在wsdd配置文件中对应的服务中加入SimpleAuthenticationHandler的配置;

4.在客户端访问时增加用户名和密码的设置;

keleSpring
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webservice 安全性 对外_WebService安全性的几种实现方法【身份识别】
weixin_40008033的博客
12-19 353
相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了.首先我们来介绍webservice下的两种验证方式,一.通过集成windows身份验证通过集成windows方式解决webservice安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然因为与win...
webservice安全性浅谈
weixin_30485799的博客
11-19 107
做项目时,经常会用到WebService来通讯,但WebService发布后为了能调用,一般都通过发布到IIS后调用 的。在IIS里可以通过匿访问,但这样大家都可能访问,不安全,因此可以提供操作系统分配一个帐号来登录到IIS 。这只是对访问服务器上的文件进行了限制,以前我也是采用这种方式,上次看到另 一种方法来防止 别人调用WebService,就是对方面进行加密,总结下来,对于W...
web service的安全
tanliyoung的专栏
04-04 757
安全Webservice为作为方便的服务被用广大领域使用的同时,也成为了黑客们的美食。在这里,本文将就目前对Webservice安全所能做的改进做简单介绍。在Webservice中的安全主要分为以下三个方面。传输 SSL/HTTPS 对连接加密,而不是传输数据消息 数据加密(XML Encryption) 数字签(XML-DSIG)底层架构 利用应用服务安全机制传输时的安全是最容易被加入到你的W
WebService安全性讨论【身份识别】
weixin_34344403的博客
03-23 283
相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了. 首先我们来介绍webservice下的两种验证方式, 一.通过集成windows身份验证 通过集成windows方式解决webservice安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然...
webService测试SoapUI-x32-5.2.1.zip
08-19
【标题】"webService测试SoapUI-x32-5.2.1.zip"指的是一个用于测试Web服务接口的工具包,特别关注的是针对基于WSDL(Web Services Description Language)的接口进行测试。这个版本是SoapUI的32位版本,5.2.1更新。 ...
webservice-cxf-spring-jar.zip
05-15
【标题】"webservice-cxf-spring-jar.zip" 是一个包含了使用Apache CXF与Spring框架集成开发Web服务的Java库集合。这个压缩包提供了一整套必要的JAR文件,以便于开发者在他们的项目中快速搭建和运行基于CXF的Web服务...
webservice 燕青 day1-1 共2天
03-27
webservice 燕青 day1-1 共2天 webservice 燕青 day1-1 共2天
JAX-WS_WebService.rar
09-06
JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用,JAX-WS方式开发和部署webservice应用
cxf-2.4.2.jar
09-24
cxf-2.4.2.jar
Web Service的安全性解决方法
04-08
对我们使用Webservice提供了安全性方面的解决办法
一种简单的web service服务安全策略
04-20
App2压缩分包1 博文链接:https://redhacker.iteye.com/blog/1897416
Web Service指南之: Web Service的安全
00的专栏
12-17 1036
安全对于web service至关重要,然而XML-RPC和SOAP都没有任何明确的对于安全性和认证的要求。 一下针对web service三个方面的安全问题:     1,保密;     2,认证;     3,网络安全。 保密 如果客户端发送XML请求服务端,我们能确保这次通讯保持保密吗? 答案如下: 1,XML-RPC和SOAP主要运行与HTTP。
webservice 安全性 对外_解决WebService安全
weixin_39852647的博客
12-19 731
有些项目确实要用到webservices,如多种语言实现的cs系统,还有些公司业务很多,系统间需要互相调用。webservices很简单,他只是一个暴露服务的组件而已,用起来简单,但是用的时候我们需要考虑的是安全性。是的你可以直接des加密返回值。简单粗暴,但是不方便啊,那么一起探讨一下在各种环境下实现webservices安全性。要解决 XML Web Service 安全性问题我们需要考虑以下...
webservice高级,安全(附带实例)
weixin_34259159的博客
05-09 297
为什么80%的码农都做不了架构师?>>> ...
webservice安全
anying6121的博客
12-07 107
一.使用soaphead方法可以在webservice的请求中增加头部信息,当有人调用我们的webservice时,可以通过查询这个请求的头部信息并验证来防止该软件以外的程序调用webservice 服务器部分using System; using System.Web.Services; using System.Web.Services.Proto...
webservice安全机制实现方法
weixin_30352645的博客
04-12 103
今天,抽空研究了一下webservice安全机制,主要一种方法使用SoapHader来实现。使用SoapHeader可以来控制非法用户对webservice的调用。下面是具体的实现方法。 1:首先我们自定义一个类MySoapHeader,需要继承System.Web.Services.Protocols.SoapHeader 这个类 1 using System; ...
浅谈提高WebService的访问安全
weixin_30376509的博客
11-27 155
1.访问安全WebService对于我们来说并不陌生,在很多地方我们都会使用到它,它为我们带来了很多方便,同时解决了多平台之间的通讯协议问题等等,因为WebService是以一种Http请求和Xml响应的方式来达成多平台之间的接入。这种方式我们一般称之为‘接口’。这里需要说明的是:所谓平台是指开发平台(例如ASP.NET和Java等开发平台)和站点平台(例如淘宝网站和支付宝网站)。就...
JAVA WebService详解:JAX-WS、JAX-RPC与JAX-RS
"JAVA的WebService支持主要涉及到Java中与Web服务相关的规范和技术,包括JAXM&SAAJ、JAX-WS以及JAX-RS。这些规范帮助开发者创建和消费基于SOAP和RESTful的Web服务,实现了不同系统间的集成和通信。在SOA架构下,Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值