3.CXF安全访问之SIGN_ENC(二)

最新推荐文章于 2021-09-05 19:07:38 发布
最新推荐文章于 2021-09-05 19:07:38 发布
阅读量307 收藏
点赞数
分类专栏: CXF 文章标签: Webservice CXF ws-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangwengcn/article/details/84437163
版权

上一篇讲了如何使用UsernameToken的方式来安全访问CXF,这篇将讲解使用证书的签名和加密技术来达到安全访问的目的。

 

1.证书的签名和加密的原理

在CXF官网关于WS-SECURITY的章节中首先介绍了,签名和加密的原理,图和文字很形象,就不再多说了。

下面附上本文中使用的生成证书的代码:

 

1. 生成别名和密码为 "serverkey"/"myPassword"的服务端证书,别名都使用小写(在keystore中存储的别名都是小写字符), 并保存在server-keystore.jks中(改证书用来服务端解密)
keytool -genkey -alias serverkey -validity 365 -keypass myPassword -keystore server-keystore.jks -storepass myPassword -dname "cn=serverkey" -keyalg RSA

2. 自签名我们的生成的证书(正式环境应该由正式的公司来做这个步骤,比如Verisign)
keytool -selfcert -alias serverkey -validity 365 -keystore server-keystore.jks -storepass myPassword -keypass myPassword

3. 从服务端keystore中导出公钥并且命名为 key.cer
keytool -export -alias serverkey -file serverkey.cer -keystore server-keystore.jks -storepass myPassword

4. 将步骤3导出的证书导入到客户端的client-truststore.jks(用来做客户端加密)

keytool -import -alias serverkey -file serverkey.cer -keystore client-truststore.jks -storepass myPassword

5. 生成别名和密码为 "clientkey"/"myPassword"的客户端证书, 并保存在client-keystore.jks中(改证书用来服务端解密)
keytool -genkey -alias clientkey -validity 365 -keypass myPassword -keystore client-keystore.jks -storepass myPassword -dname "cn=clientkey" -keyalg RSA

6. 自签名我们的生成的证书(正式环境应该由正式的公司来做这个步骤,比如Verisign)
keytool -selfcert -alias clientkey -validity 365 -keystore client-keystore.jks -storepass myPassword -keypass myPassword

7. 从客户端keystore中导出公钥并且命名为 key.cer
keytool -export -alias clientkey -file clientkey.cer -keystore client-keystore.jks -storepass myPassword

8. 将步骤3导出的证书导入到服务端的server-truststore.jks(用来做客户端加密)

keytool -import -alias clientkey -file clientkey.cer -keystore server-truststore.jks -storepass myPassword

 

执行完,你可以在%JDK_HOME%/bin目录得到4个jks文件(数字证书库),这就是我们即将用来加密和签名的证书文件了。

 

 2.添加四个证书配置文件

  • Client_Encrypt.properties
  • Client_Sign.properties
  • Server_Decrypt.properties
  • Server_SignVerf.properties

四个文件格式都一样,里面配置的keystore的类型、地址、密码以及做相应操作的证书别名。

内容如下:

 

org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin
org.apache.ws.security.crypto.merlin.keystore.type=jks
org.apache.ws.security.crypto.merlin.keystore.password=myPassword
org.apache.ws.security.crypto.merlin.keystore.alias=clientKey
org.apache.ws.security.crypto.merlin.keystore.file=resource/keystore/server-truststore.jks
 

 

 3.修改客户端和服务端spring配置文件

各个配置文件中的内容相应做了注释,请看下面的详细文件

 

服务端配置:

 

<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jaxws="http://cxf.apache.org/jaxws"
	xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd">

	<import resource="classpath:META-INF/cxf/cxf.xml" />
	<import resource="classpath:META-INF/cxf/cxf-servlet.xml" />

	<jaxws:endpoint id="helloWorld"
		implementor="com.demo.cxf.helloword.impl.HelloWordImpl" address="/HelloWorld">
		<jaxws:inInterceptors>
			<ref bean="serverWSS4JInInterceptor" />
			<bean class="com.demo.cxf.helloword.ClientIpInInterceptor" />
			<bean class="org.apache.cxf.interceptor.LoggingInInterceptor" />
		</jaxws:inInterceptors>
		<jaxws:outInterceptors>
			<ref bean="serverWSS4JOutInterceptor" />
			<bean class="org.apache.cxf.interceptor.LoggingOutInterceptor" />
		</jaxws:outInterceptors>
	</jaxws:endpoint>
	
	<bean id="passwordCallback" class="com.demo.cxf.callbacks.PasswordCallback"></bean>
	<bean id="serverWSS4JInInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
		<property name="properties">
			<map>
				<entry key="action" value="Timestamp Encrypt Signature" />
				<!-- 
					服务器会自动在SOAP中拿到解码(私钥)的用户名,并在 PasswordCallback中取到密码。
					公钥不需要密码。
				-->
				<entry key="passwordCallbackRef">
					<ref bean="passwordCallback" />
				</entry>
				<entry key="decryptionPropFile" value="resource/properties/Server_Decrypt.properties" />
				<entry key="signaturePropFile" value="resource/properties/Server_SignVerf.properties" />
			</map>
		</property>
	</bean>
	<bean id="serverWSS4JOutInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
		<property name="properties">
			<map>
				<!-- 
					此处配置需注意,当指定Signature时就必须像UsernameToken那样指定user和passwordCallbackRef。
					因为假如我们没指定signatureUser或者encryptionUser,CXF将会使用user来替代之,而signatureUser的
					密码必须通过passwordCallbackRef赋值。所以哪怕定义了signatureUser也必须同时定义user,
					且不能为空。
					公钥不需要密码。
				 -->
				<entry key="action" value="Timestamp Encrypt Signature" />
				<!-- MD5加密明文密码 -->
				<entry key="passwordType" value="PasswordDigest" />
				<!-- 该用户名只能在激活了UsernameToken时才能拿到并使用 -->
				<entry key="user" value="admin" />
				<entry key="passwordCallbackRef">
					<ref bean="passwordCallback" />
				</entry>
				<entry key="encryptionPropFile" value="resource/properties/Server_SignVerf.properties" />
				<entry key="encryptionUser" value="clientkey" />
				<entry key="signaturePropFile" value="resource/properties/Server_Decrypt.properties" />
				<entry key="signatureUser" value="serverkey" />
			</map>
		</property>
	</bean>

</beans>
 

 

 

客户端配置:

 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:jaxws="http://cxf.apache.org/jaxws" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
		http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd">

	<jaxws:client id="helloClient" serviceClass="com.demo.cxf.helloword.HelloWord"
		address="http://10.248.157.51:8080/web_service/services/HelloWorld">
		<jaxws:inInterceptors>
			<ref bean="clientWSS4JInInterceptor"/>
		</jaxws:inInterceptors>
		<jaxws:outInterceptors>
			<ref bean="clientWSS4JOutInterceptor" />
		</jaxws:outInterceptors>
	</jaxws:client>
	
	<bean id="passwordCallback" class="com.demo.cxf.callbacks.PasswordCallback"></bean>
	<bean id="clientWSS4JInInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
		<property name="properties">
			<map>
				<entry key="action" value="Timestamp Encrypt Signature" />
				<entry key="passwordCallbackRef">
					<ref bean="passwordCallback" />
				</entry>
				<entry key="decryptionPropFile" value="resource/properties/Client_Sign.properties" />
				<entry key="signaturePropFile" value="resource/properties/Client_Encrypt.properties" />
			</map>
		</property>
	</bean>
	<bean id="clientWSS4JOutInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
		<property name="properties">
			<map>
				<entry key="action" value="Timestamp Encrypt Signature" />
				<entry key="passwordType" value="PasswordDigest" />
				<entry key="user" value="admin" />
				<entry key="passwordCallbackRef">
					<ref bean="passwordCallback" />
				</entry>
				<entry key="encryptionPropFile" value="resource/properties/Client_Encrypt.properties" />
				<entry key="encryptionUser" value="serverkey" />
				<entry key="signaturePropFile" value="resource/properties/Client_Sign.properties" />
				<entry key="signatureUser" value="clientkey" />
			</map>
		</property>
	</bean>
</beans>
 

 

  • 客户端发送数据前:使用服务端的公钥进行加密,同时使用客户端的私钥进行签名
  • 服务端收到请求:使用服务端的私钥解密,并使用客户端的公钥进行签名验证
  • 服务端响应前:使用客户端的公钥进行加密,同时使用服务端的私钥进行签名
  • 客户端收到响应:使用客户端的私钥解密,并使用服务端的公钥进行签名验证

这两个配置文件的大致内容如上。

 

4.添加PasswordCallback

UsernameToken中就使用过,不多做解释,只是需要注意下面代码中的证书密码部分,证书密码在客户端和服务端分别只需要保存己方的私钥密码,公钥是不需要密码的。

 

package com.demo.cxf.callbacks;

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;

public class PasswordCallback implements CallbackHandler {

	Map<String, String> user = new HashMap<String, String>();
	{
		// 用户名和密码
		user.put("admin", "123");
		user.put("su", "123");
		// 证书的密码
		user.put("serverkey", "myPassword");
		user.put("clientkey", "myPassword");
	}

	@Override
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		WSPasswordCallback wpc = (WSPasswordCallback) callbacks[0];
		System.out.println(wpc.getIdentifier());
		if (!user.containsKey(wpc.getIdentifier())) {
			throw new SecurityException("权限不足!");
		}
		/*
		 * 此处特别注意:: WSPasswordCallback 的passwordType属性和password 属性都为null,
		 * 你只能获得用户名(identifier), 一般这里的逻辑是使用这个用户名到数据库中查询其密码, 然后再设置到password
		 * 属性,WSS4J 会自动比较客户端传来的值和你设置的这个值。 你可能会问为什么这里CXF
		 * 不把客户端提交的密码传入让我们在ServerPasswordCallbackHandler 中比较呢?
		 * 这是因为客户端提交过来的密码在SOAP 消息中已经被加密为MD5 的字符串,
		 * 如果我们要在回调方法中作比较,那么第一步要做的就是把服务端准备好的密码加密为MD5 字符串, 由于MD5
		 * 算法参数不同结果也会有差别,另外,这样的工作CXF 替我们完成不是更简单吗?
		 */

		// 如果包含用户名,就设置该用户名正确密码,由CXF验证密码
		wpc.setPassword(user.get(wpc.getIdentifier()));
	}

}

 

5.其他的SEI和IMPL请参考上一篇中的代码,完全一样,附上代码。

 

 

水桶妖
关注
专栏目录
SM2加密/签名,解密/验签Java多线程之Runnable任务
fen_fen的专栏
08-22 1718
SM2加密和签名Runnable任务
cxf ws-security 加密和签名的实现
xiaofengtoo的专栏
07-22 948
以下文章为 cxf 官方 google 翻译,英文好的朋友可以直接看原文: http://cxf.apache.org/docs/ws-security.html   WS - Security提供了手段,以确保您的服务,如HTTPS传输级别的协议超出。 通过一些标准,如XML加密,并在WS - Security标准中定义的头,它可以让你: 在服务之间传递的身份验证令牌 ...
python某漫画app逆向
qq_45075118的博客
03-29 3909
微漫画app逆向一工具的准备级项目思路三级目录 一工具的准备 1.fiddler抓包工具 2.python环境,Java环境 3.微漫画app准备 4.java反编译工具 级项目思路 豆瓣夹下载微漫画app 链接:[link](https://www.wandoujia.com/ps://www.wandoujia.com/). 三级目录 ...
App逆向 | 某漫画app签名加密逻辑分析
放纵的Coder
08-12 1334
第一篇有关app逆向的文章,可能篇幅较长,请耐心阅读。 首先来介绍一下需要用到的部分工具和安装方式,然后借助某漫画app,来详细讲解一下工具的使用,以及如何查找加密的流程。 文章中用到的安装包,下载速度超慢,不想下载或者下载不了的,可以直接联系我。 声明本文章只做技术交流,如有侵权请联系删除。 一、目标网站: aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzY1MTM5ODA= 打开网站下载对应版本的apk,本文使用的是最新3.0.1版本。 、环境安装: jdk下载
linux中常用的加密总结--Openssl加解密与签名验证--genrsa/rsa/rsautl
lzq00277的博客
03-06 2364
linux中常用的加密总结–openssl加解密 官方语法: openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md] [-p] [-P] [-bufsize number] [-nopad] [-d
CXF-demo.zip_cxf_cxf 2.7.11 demo_cxf demo_cxf webservice demo_we
09-14
这不仅涵盖了基本的Web服务概念,还包括了CXF特有的特性,如WS-Security安全)、WS-ReliableMessaging(可靠消息传递)等。 为了更好地理解CXF的使用,你需要理解以下几个关键概念: - **JAX-WS**:Java API for...
cxf_helloworld.rar_SOA CXF_SOA JAVA _cxf_cxf helloworld_hellowor
09-14
3. **配置CXF**:通过XML配置文件(如`cxf-servlet.xml`)来告诉CXF如何发布你的服务。 4. **发布服务**:将服务绑定到一个URL,使得其他应用可以通过网络访问。 5. **生成客户端代码**:使用CXFwsdl2java工具,...
java_webservice_JAX-RS.zip_cxf_jax_jax-rs_spring cxf
09-23
CXF允许开发者使用JAX-RS和JAX-WS标准来编写Web服务,并提供了丰富的功能,如WSDL(Web Services Description Language)生成、客户端API生成、数据绑定、安全支持等。 **4. CXF与Spring的整合** 将CXF与Spring...
ssl证书知识大全
linux_tcpdump的博客
09-05 1374
什么是SSL证书 SSL证书是用于在WEB服务器与浏览器以及客户端之间建立加密链接的加密技术,通过配置和应用SSL证书来启用HTTPS协议,来保护互联网数据传输的安全,全球每天有数以亿计的网站都是通过HTTPS来确保数据安全,保护用户隐私。 Understanding SSL server certificates with Examples SSL证书的作用 为您的网站访客、企业建立信任和网络安全 加密隐私数据。防止您访客的隐私信息(账号、地址、手机号等)被劫持或窃取 地址栏安全锁。地址栏头部的“锁”型图
SM2算法的加密签名消息语法规范(四)如何构造envelopedData
lt4959的专栏
01-13 3441
前面的文章中已经介绍了国密规范中的数字信封数据envelopedData类型。接下来讲一下怎么构造出这种类型的数据~~\( ̄︶ ̄)/ 1、构造流程 根据RFC规范,在结合GM/T 0010规范的要求,构造数字信封数据的过程如下: a. 产生一个对应于特定加密算法的内容加密密钥(即会话密钥或对称密钥); b. 将内容加密密钥用每个接收者的公钥加密。(算法为:sm2-3 公钥加密算法 OID:1.2.156.10197.1.301.3) c. 对于每一个接收者,把加了密...
Android 用私钥计算出的签名和数字证书的区别
Allence的博客
12-11 754
自己的体会: 1.数字证书的作用就是保证里面的公钥还有证书指纹、加密算法啥的没有被别人篡改,然后证书中的证书指纹、发布者、所有者等和你的签名文件中的一样,证明这个app是你的(如何保证请看下文) 2.用自己的私钥计算出的签名,保证app的内容在发行过程中不被篡改 1.获取签名文件信息: 获取apk中的签名: 两个指数指纹完全一样,所以签名文件能保证这个app是属于某个...
signId和signKey生成及各种加密方式
热门推荐
xiao雷博客
03-07 1万+
自定义生成过程(getMd5SignMsg方法进行数据签名校验): 对字符串加密 import java.io.UnsupportedEncodingException; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class HashEncrypt ...
东华OJ维数组中等 数的整除--STL,yyds!
Pure_Silly的博客
12-13 832
DFS,NO!STL,YES! 问题描述 : 有一次,明明所在的学校举行校数学竞赛,明明一向数学成绩突出,因此作为班级的代表,被派去参赛。 在比赛中,明明遇到了这样一个问题: “用1到9这9个数字组成3个3位数,9个数字每个都只能用一次,在这种组合中要求第个和第三个数都能被第一个数整除。现要求求出所有符合条件的这种组合,并对所有的组合进行排序,排序的依据是:首先每组中三个数从小到大进行排序,组与组之间首先比较第一个数,小的在前,若第一个数相同,则比较第个数,小的在前。” 明明在比赛中对这道题目想了很久,
MD5算法与sign签证
zyzn1425077119的博客
02-28 2583
参考:TS_A1的博客,网址:http://blog.csdn.net/typa01_kk/article/details/491521731 问题说明sign签证的可以解决,参数被修改。让服务器端和客户端都有相同的生成sign的方法,只有前端和后端生成的sign相同,则说明,没有被修改。如参数为:{"option":{"reqtime":xxx},"content":{"password":"2...
加密和签名技术分析
zollty的专栏
12-27 1389
早在2013年,我就设计了 开放平台,那时参考了 新浪开放平台 \腾讯\百度\淘宝\支付宝\豆瓣 开放平台,并研究了 OAUTH(1.0和2.0) 最终第一版采用的OAUTH 1.0实现,第版采用OAUTH 2.0实现。   但是有一个疑问,当时没弄清楚,就是 “为什么 支付宝用的RSA加密和签名,而新浪、豆瓣等用的AES加密、SHA1签名?”   现在,我又深入研究了一晚上,终于想明...
关于token和sign介绍,附postman动态生成token和sign请求(含php获取请求头信息)
蓝枫秋千的踩坑记录
07-17 2573
Token:令牌 描述:用来判断用户身份的一个标识。 生成:用户在成功登陆后,后端生成一个token(可以是经过编码加密的一个字符串),将token返回给前端,同时后端将koken和用户id和时间戳存入缓存数据库(如果用户量不大的话可以考虑直接存储到数据库)中。 验证:在前端调用接口的时候,需要携带token(如果不携带,认为你非法调用接口),后端根据token和时间戳判断token是否有效或者是否过期,如果过期让用户重新登录,并删除旧的token,重新生成token,重新用户id和时间戳和..
import org.apache.cxf.transport.servlet.CXFServlet的依赖
最新发布
06-10
在 Maven 项目中,可以在 pom.xml 文件中添加以下依赖来使用 Apache CXF 框架: ``` <dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-rt-frontend-jaxws</artifactId> <version>${cxf.version}</version> </dependency> <dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-rt-transports-http</artifactId> <version>${cxf.version}</version> </dependency> <dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-rt-transports-http-jetty</artifactId> <version>${cxf.version}</version> </dependency> ``` 其中,`${cxf.version}` 是 Apache CXF 框架的版本号,可以根据实际情况进行替换。这些依赖包含了 Apache CXF 框架的核心库和 HTTP/Jetty 传输库,可以用于发布和管理 Web 服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值