WS Security 认证方式详解

最新推荐文章于 2021-04-03 12:40:02 发布
最新推荐文章于 2021-04-03 12:40:02 发布
阅读量1.1k 收藏
点赞数
原文链接:http://www.cnblogs.com/mikevictor07/p/3678535.html
版权

本文参考文档如下:

MSDN 官方详解 : http://www.microsoft.com/china/MSDN/library/WebServices/WebServices/HowASP.NETWebServicesWork.mspx?mfr=true

WS安全规范说明 : https://www.oasis-open.org/committees/download.php/16782/wss-v1.1-spec-os-UsernameTokenProfile.pdf

WS Security 一些历史信息 : http://zh.wikipedia.org/wiki/WS-Security

如有不理解,请参考上面三个资源。

 

WS-Security 所涉及的三个方面:身份验证、签名和加密

1.身份验证

常用的的三种认证方法:

 

1.1用户名/密码

在Apache CXF中,可以使用如下定义来使用用户名密码认证:

客户端:

<jaxws:client id="xxx" serviceClass="xxxy"
        address="xxx">
        
        <jaxws:outInterceptors>
            <bean class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
                <constructor-arg>
                    <map>
                        <entry key="action" value="UsernameToken"/>
                        <entry key="user" value="xxx"/>
                        <!-- Password_Digest = Base64 ( SHA-1 ( nonce + created + password ) )  -->
                        <entry key="passwordType" value="PasswordDigest"/>
                        <entry key="passwordCallbackRef" value-ref="myPasswordCallback"/>
                    </map>
                </constructor-arg>
            </bean>
        </jaxws:outInterceptors>
        
    </jaxws:client>

  以上的passwordType值为PasswordText时,则密码使用明文传输;为PasswordDigest时,则Password_Digest = Base64 ( SHA-1 ( nonce + created + password ) )

比如传输的SOAP报文为:

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
    <soap:Header>
        <wsse:Security
            xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
            xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
            soap:mustUnderstand="1">
            <wsse:UsernameToken wsu:Id="UsernameToken-1">
                <wsse:Username>xxx</wsse:Username>
                <wsse:Password
                    Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest">4t7Q2C0DnV21ie6ngsv6CwZ3vVw=</wsse:Password>
                <wsse:Nonce
                    EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">R+6n+Z5L6FaG8IqeDrLGXw==</wsse:Nonce>
                <wsu:Created>2014-04-21T09:56:51.361Z</wsu:Created>
            </wsse:UsernameToken>
        </wsse:Security>
    </soap:Header>
    <soap:Body>
        ......
    </soap:Body>
</soap:Envelope>

 

  则上面计算的Password_Digest的参数则来源于wsse:Security下面的各个节点参数值。

使用加密的密码传输,则客户端与服务端都需要指定一个passwordCallbackRef,该实现类继承CallbackHandler,下面做个示例

public class ClientMyPasswordCallback implements CallbackHandler {
    
    private static final Log log = LogFactory.getLog(MyPasswordCallback.class);
    
    /* (non-Javadoc)
     * @see javax.security.auth.callback.CallbackHandler#handle(javax.security.auth.callback.Callback[])
     */
    public void handle(Callback[] callbacks) throws IOException,
            UnsupportedCallbackException {

        WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
        
        pc.setPassword("xxx");
        
        
    }
    
}

 

  服务端则使用:

public class ServerMyPasswordCallback implements CallbackHandler {
    
    private static final Log log = LogFactory.getLog(MyPasswordCallback.class);
    
    /* (non-Javadoc)
     * @see javax.security.auth.callback.CallbackHandler#handle(javax.security.auth.callback.Callback[])
     */
    public void handle(Callback[] callbacks) throws IOException,
            UnsupportedCallbackException {

        WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
        
    //通过数据库得到该用户名的密码,这里略去该过程
String password = getPwdByUname(pc.getIdentifier());
  

        pc.setPassword(password );//直接设置从数据库得到的密码,WSS4J自动匹配该值与客户端传入的值,不需要调用pc.getPassword();因为它总是返回null
        
        
    }
    
}

  服务端的拦截器中匹配密码方式是自动的,不需要从pc.getPassword()得到密码自己匹配,由于加密算法比较麻烦,所以省去这一步应该是比较好的设计

 

X.509 证书与Kerberos则参考:

http://www.microsoft.com/china/MSDN/library/WebServices/WebServices/HowASP.NETWebServicesWork.mspx?mfr=true

文章里说明很清楚,不再重复。

 

2.签名

签名可以防止消息在传输中被篡改进行重复攻击等,可使用私钥对需要的部分进行签名,比如在上节的<身份认证>中,如果消息被截获,可导致重复攻击,

需要对请求设置过期时间(wsu:Timestamp->wsu:Expires)并签名。

 

3.消息包数据加密

若传输的消息属于高安全级别,则需要使用X.509 证书对消息加密,即客户端使用服务端的公钥加密,服务端通过私钥解包,消息包只能在知道服务端私钥情况下才能解开。

要对全部SOAP包加密,可启用SSL(通常为HTTPS)。

 

转载于:https://www.cnblogs.com/mikevictor07/p/3678535.html

weixin_34040079
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SOAP WebService实现WS-Security用户身份认证时间戳验证
学习记录和开发记录
11-02 2231
ApacheCXF框架API实现了WS-Security协议,其中包括xml签名、用户令牌、时间戳等;   实现目标:在SOAP WebService的服务端实现客户端身份认证、时间戳形式的安全机制;(密钥加密及签名方式认证待续) 运行环境:apache-cxf-3.1.6、jdk1.7、tomcat7.0.68   cxf框架和spring高度集成,示例安全机制服务端基于sprin...
WSE在Web服务中验证用户身份
冰河の泥鱼的专栏
09-02 1154
WSE在Web服务中验证用户身份出处:天极网一、Web服务安全与WS-Security 毫无疑问,SOAP和XML Web服务在交互操作和标准上已经完全改变了电子商务领域的格局。然而直到最近,在Web服务技术领域仍然存在着一些缺陷,那就是处理消息级别的安全、认证、加密、数字签名、路由和附件等问题的能力。为了解决这些安全问题,像IBM、Microsoft和Verisign这 样
实现 Web Service Security
lwsolos的专栏
07-04 2489
WS-Security 标准显然,需要有一个保护 Web 服务的业界标准方法,2002 年 4 月,IBM、Microsoft 和 Verisign 对这种需求作出了反应。WS-Security 规范(另请参阅参考资料)中描述到:“WS-Security 描述通过消息完整性、消息机密性和单独消息认证提供保护质量的 SOAP 消息传递增强。这些机制可以用于提供多种安全模型和加密技术。WS-S
php soap wsse,Web服务客户端 - 在SOAP消息中使用.p12密钥创建“wsse:Security头”
weixin_42391485的博客
04-03 392
我想创建一个与服务器通信的客户端应用程序 . 我从WSDL文件生成Web服务类,并在Intellij代码中编写如下:public static void main(String[] argv) throws BledyOperacji_Exception{ObslugaReceptyWS ws = new ObslugaReceptyWS();ObslugaReceptyWSPortType ws...
webservice的安全问题
stay hungry ! stay foolish!
01-05 4324
                               webservice的安全问题     1 身份校验 1 在需要进行验证的接口中加入拦截器 2 对拦截器进行配置,对调用接口的身份进行拦截 3 usernameToken 2 信息加密 Wssj=webservice security for java      Wss4j安全策略 安全令...
构建安全的 Web Services
weixin_30727835的博客
05-24 104
更新日期: 2004年04月12日 本页内容 本模块内容 目标 适用范围 ...
java webservice 详解 ws
10-25
例如,使用WS-Security标准来保护Web服务的安全,通过Spring框架管理事务,使用缓存提高服务响应速度等。 总的来说,Java Web服务是一个强大的跨平台通信工具,通过理解并熟练掌握JAXWS和JAX-RS,开发者可以构建出...
JAX-WS开发webservice示例详解
06-01
**JAX-WS开发Web服务示例详解** Java API for XML Web Services (JAX-WS) 是Java平台上的一个标准,用于开发基于SOAP协议的Web服务。它简化了Web服务的创建、部署和消费,使得开发者可以使用面向对象的方式来处理...
WS_net.rar_ws网络
09-23
**WS网络详解** WS网络,全称为Web Socket网络,是一种在互联网上实现双向通信的协议。它打破了传统的HTTP协议的单向数据传输限制,允许服务器和客户端之间建立持久的连接,进行实时的数据交换,这对于开发实时应用...
JAX-WS 2.2 Jar包
03-27
**JAX-WS 2.2 Jar包详解** JAX-WS(Java API for XML Web Services)是Java平台上用于创建和消费Web服务的标准API。它提供了面向服务架构(SOA)的模型,使得开发人员能够方便地在Java环境中构建、部署和使用Web...
xfire spring security
05-07
《xfire与Spring Security整合实现WS-Security安全认证详解》 在现代企业级应用开发中,安全性是不可或缺的重要环节。Spring Security作为Java领域的安全框架,提供了全面的身份验证和授权服务。而Xfire(现已被...
使用SoapUI调用不同的安全WCF SOAP服务-基本身份验证,第二部分
最佳 Java 编程
06-15 599
在本系列的第一篇文章中,我们创建了一个基本的身份验证服务,以使用SoapUI进行调用。 因此,在第二篇文章中,我们将逐步演示如何使用此工具成功调用这种服务。 使用SoapUI的1-Basic WCF SOAP –创建新的SOAP项目 首先,我们需要创建一个SoapUI项目,并在“初始WSDL”中添加在第一篇文章中创建的WSDL服务的URL。 另外,添加所需的项目名称。 将生成一个新项目,...
onvif中的ws-username token 加密算法
yu_tina的博客
12-05 3456
onvif中的ws-username token 加密算法
了解 WS-Security
来老师的专栏
03-20 5240
了解 WS-Security Scott Seely Microsoft Corporation 2002年10月 适用于: Web 服务规范(WS-SecurityWS-Security Addendum)摘要:本文介绍如何使用 WS-Security 在 SOAP 消息中嵌入安全机制,并介绍 WS-Security 所涉及的三个方面:身份验证、签名和加密。 目录
Axis2+Rampart(WSS4J)实现UsernameToken认证方式WS-Security(基于SOAP的Web安全调用机制)
热门推荐
ALCAT的专栏
02-25 1万+
最近在研究基于SOAP的Web安全调用机制,发现相关文章多但是都很不全,这里把Axis2+Rampart(WSS4J)实现UsernameToken认证方式WS-Security的过程做个记录,供大家参考。
[转]cxf+spring实现ws-security的数字证书验证方式
u011626697的博客
09-03 188
第一步 生成可用的数字证书使用命令行打开您要生成数字证书的路径 生成证书还是比较麻烦的,要用到jdk的一个工具——keytool 首先,创建客户端KeyStore和公钥 在命令行运行: 1、创建私钥和KeyStore: keytool -genkey -alias clientprivatekey -keypass keypass -keystore Client_KeyStore.jks -...
实现 WS-Security(两个WEB服务在因特网上通信时不应该被第三方看到)
Aone --- 无限的未知
04-16 2277
本文将描述新兴的 WS-Security 标准如何被用于保护 2002 年秋天开发和部署的 Web 服务。本文将讨论 Web 服务在安全性方面的需求,以及如何利用 HTTPS/SSL、数字证书和数字签名技术的组合来满足这些需求。本文将仔细讨论 S0AP 消息用来触发 Web 服务的 WS-Security 元素,并详细解释 WS-Security 元素的每一部分。Web 服务安全 — 万事俱备
Web 服务安全性(WS-Security 1.0)
yuwenruli的专栏
08-11 2718
本文档的情况 WS-Security 和相关规范只按现状提供,作为回顾和评价。IBM 和 Microsoft 以及 VeriSign 都希望在不久的将来能得到您的投稿和建议。IBM、Microsoft 和 Versign 不以任何方式作出关于规范的保证或陈述。
spi ws2812驱动程序详解
最新发布
12-13
SPI WS2812驱动程序是一种用于控制WS2812灯带的驱动程序。WS2812灯带是一种智能彩色灯带,它由一组可编程的RGB LED组成,并通过单独的数据线进行控制。 SPI(Serial Peripheral Interface)是一种串行外设接口,它允许主控制器与其他外设进行通信。SPI WS2812驱动程序利用SPI接口与WS2812灯带进行通信,在主控制器发送数据时,驱动程序会将数据解析并转化为控制WS2812灯带的指令。 驱动程序详解如下: 1. 初始化:驱动程序需要在使用之前进行初始化,包括配置SPI接口的参数和引脚的初始化。这些参数包括时钟频率、数据格式和传输模式等。初始化完成后,驱动程序可以准备发送数据。 2. 数据传输:驱动程序通过SPI接口将控制指令发送给WS2812灯带。这些指令包括灯光的颜色、亮度和模式等。驱动程序将这些指令转化为特定的数据格式,并通过SPI接口将数据发送给WS2812灯带。 3. 数据解析:WS2812灯带接收到数据后,驱动程序需要对数据进行解析。驱动程序会将接收到的数据按照约定的格式进行解析,并将解析后的数据转化为相应的控制信号。这些控制信号可以控制WS2812灯带的亮度、颜色和模式等。 4. 控制输出:解析后的数据将被传输到WS2812灯带的控制引脚上,以控制灯带的亮度和显示效果。驱动程序将数据发送到灯带时要考虑时序和数据传输的速率,以确保数据正常传输。 SPI WS2812驱动程序的详解主要涉及初始化、数据传输、数据解析和控制输出等方面。通过驱动程序的控制,可以实现精确的灯光控制和多种灯光效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值