CXF学习笔记(4)-HelloWorld!-安全认证

最新推荐文章于 2020-12-30 02:22:03 发布
最新推荐文章于 2020-12-30 02:22:03 发布
阅读量568 收藏
点赞数
分类专栏: Java
本文介绍如何在Web服务中引入基于用户名和密码的认证机制,以确保只有授权客户端可以调用服务,通过配置拦截器实现客户端与服务器共享的用户名密码验证流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前3节中介绍了如何发布一个webservice和客户端如何调用,一切貌似都正常,但存在着安全隐患-这样导致任意的客户端都可以调用我们的webservice服务,接下来将介绍如何采用基于用户名和密码认证的方式来实现客户端调用

1.服务器端配置

a.在发布service的时候为该service添加一个WSS4JInInterceptor 拦截器

表示我们的service需要用户提供用户名和密码认证后才能调用

[java] view plain copy print ?
  1. package com.crazycoder2010.webservice.cxf.server;    
  2.     
  3. import java.util.HashMap;  
  4. import java.util.Map;  
  5.   
  6. import javax.servlet.ServletConfig;  
  7.   
  8. import org.apache.cxf.endpoint.Endpoint;  
  9. import org.apache.cxf.endpoint.Server;  
  10. import org.apache.cxf.frontend.ServerFactoryBean;  
  11. import org.apache.cxf.service.invoker.BeanInvoker;  
  12. import org.apache.cxf.transport.servlet.CXFNonSpringServlet;  
  13. import org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor;  
  14. import org.apache.ws.security.WSConstants;  
  15. import org.apache.ws.security.handler.WSHandlerConstants;    
  16.     
  17. <SPAN><SPAN class=keyword></SPAN></SPAN>import com.crazycoder2010.webservice.cxf.server.HelloWorldServiceImpl;    
  18.     
  19. public class WebServiceServlet extends CXFNonSpringServlet {    
  20.     private static final long serialVersionUID = -5314312869027558456L;    
  21.     
  22.     @Override    
  23.     protected void loadBus(ServletConfig servletConfig) {    
  24.         super.loadBus(servletConfig);    
  25.         System.out.println("#####################");    
  26.         ServerFactoryBean svrFactory = new ServerFactoryBean();  
  27.         svrFactory.setServiceClass(HelloWorldService.class);  
  28.         svrFactory.setAddress("/passportService");  
  29.         svrFactory.setInvoker(new BeanInvoker(new HelloWorldServiceImp()));  
  30.         Server server = svrFactory.create();  
  31.         Endpoint cxfEndpoint = server.getEndpoint();  
  32.         Map<String, Object> inProps = new HashMap<String, Object>();  
  33.         inProps.put(WSHandlerConstants.ACTION,  
  34.                 WSHandlerConstants.USERNAME_TOKEN);  
  35.         inProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST);  
  36.         inProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,  
  37.                 ServerPasswordHandler.class.getName());  
  38.         cxfEndpoint.getInInterceptors().add(new WSS4JInInterceptor(inProps));  
  39.     }    
  40. }  
package com.crazycoder2010.webservice.cxf.server;  
  
import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletConfig;

import org.apache.cxf.endpoint.Endpoint;
import org.apache.cxf.endpoint.Server;
import org.apache.cxf.frontend.ServerFactoryBean;
import org.apache.cxf.service.invoker.BeanInvoker;
import org.apache.cxf.transport.servlet.CXFNonSpringServlet;
import org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor;
import org.apache.ws.security.WSConstants;
import org.apache.ws.security.handler.WSHandlerConstants;  
  
<span><span class="keyword"></span></span>import com.crazycoder2010.webservice.cxf.server.HelloWorldServiceImpl;  
  
public class WebServiceServlet extends CXFNonSpringServlet {  
    private static final long serialVersionUID = -5314312869027558456L;  
  
    @Override  
    protected void loadBus(ServletConfig servletConfig) {  
        super.loadBus(servletConfig);  
        System.out.println("#####################");  
        ServerFactoryBean svrFactory = new ServerFactoryBean();
        svrFactory.setServiceClass(HelloWorldService.class);
        svrFactory.setAddress("/passportService");
        svrFactory.setInvoker(new BeanInvoker(new HelloWorldServiceImp()));
        Server server = svrFactory.create();
        Endpoint cxfEndpoint = server.getEndpoint();
        Map<String, Object> inProps = new HashMap<String, Object>();
        inProps.put(WSHandlerConstants.ACTION,
                WSHandlerConstants.USERNAME_TOKEN);
        inProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST);
        inProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,
                ServerPasswordHandler.class.getName());
        cxfEndpoint.getInInterceptors().add(new WSS4JInInterceptor(inProps));
    }  
}
b.处理用户名和密码的逻辑

添加一个ServerPasswordHandler类,该类实现CallbackHandler接口,user='kevin',password='111111'为该service的访问用户名密码

[java] view plain copy print ?
  1. public class ServerPasswordHandler implements CallbackHandler{  
  2.     private String user = "kevin";  
  3.     private String password = "111111";  
  4.     @Override  
  5.     public void handle(Callback[] callbacks) throws IOException,  
  6.             UnsupportedCallbackException {  
  7.         WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];  
  8.         if(user.equals(pc.getIdentifier())){  
  9.             pc.setPassword(password);  
  10.         }  
  11.     }  
  12. }  
public class ServerPasswordHandler implements CallbackHandler{
	private String user = "kevin";
	private String password = "111111";
	@Override
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
		WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
		if(user.equals(pc.getIdentifier())){
			pc.setPassword(password);
		}
	}
}
2.客户端配置

a.配置WSS4JOutInterceptor拦截器,表示发出请求的时候将以提供的用户名和密码信息提交到服务器端认证

[java] view plain copy print ?
  1. public class WebServiceFactory {  
  2.     public static PassportService getHelloWorldService(){  
  3.     Map<String,Object> outProps = new HashMap<String,Object>();  
  4.     outProps.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);  
  5.     outProps.put(WSHandlerConstants.USER, "kevin");//这个用户即服务器端配置的用户名   
  6.     outProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST);  
  7.     outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS, ClientPasswordHandler.class.getName());//这个类用来获取客户端认证用户名密码信息   
  8.     JaxWsProxyFactoryBean bean = new JaxWsProxyFactoryBean();    
  9.         bean.getInInterceptors().add(new LoggingInInterceptor());    
  10.         bean.getInFaultInterceptors().add(new LoggingOutInterceptor());   
  11.         bean.setServiceClass(PassportService.class);  
  12.         bean.setAddress("http://localhost:8080/CXF-Server/webservice/helloWorldService");   
  13.         HelloWorldService helloWorldService = (HelloWorldService)bean.create();  
  14.         ClientProxy clientProxy = (ClientProxy)Proxy.getInvocationHandler(passportService);  
  15.         Client client = clientProxy.getClient();  
  16.         client.getOutInterceptors().add(new WSS4JOutInterceptor(outProps));//配置拦截器   
  17.         return helloWorldService;  
  18.     }  
  19. }  
public class WebServiceFactory {
	public static PassportService getHelloWorldService(){
	Map<String,Object> outProps = new HashMap<String,Object>();
	outProps.put(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
	outProps.put(WSHandlerConstants.USER, "kevin");//这个用户即服务器端配置的用户名
	outProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_DIGEST);
	outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS, ClientPasswordHandler.class.getName());//这个类用来获取客户端认证用户名密码信息
	JaxWsProxyFactoryBean bean = new JaxWsProxyFactoryBean();  
        bean.getInInterceptors().add(new LoggingInInterceptor());  
        bean.getInFaultInterceptors().add(new LoggingOutInterceptor()); 
        bean.setServiceClass(PassportService.class);
        bean.setAddress("http://localhost:8080/CXF-Server/webservice/helloWorldService"); 
        HelloWorldService helloWorldService = (HelloWorldService)bean.create();
        ClientProxy clientProxy = (ClientProxy)Proxy.getInvocationHandler(passportService);
        Client client = clientProxy.getClient();
        client.getOutInterceptors().add(new WSS4JOutInterceptor(outProps));//配置拦截器
        return helloWorldService;
	}
}
b.配置客户端认证信息类

[java] view plain copy print ?
  1. public class ClientPasswordHandler implements CallbackHandler{  
  2.     @Override  
  3.     public void handle(Callback[] callbacks) throws IOException,  
  4.             UnsupportedCallbackException {  
  5.     WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];  
  6.         pc.setPassword("kevin");//这个地方的用户名和密码与服务器端保持一致     
  7.         pc.setIdentifier("111111");  
  8.     }  
  9. }  
public class ClientPasswordHandler implements CallbackHandler{
	@Override
	public void handle(Callback[] callbacks) throws IOException,
			UnsupportedCallbackException {
	WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
        pc.setPassword("kevin");//这个地方的用户名和密码与服务器端保持一致	
        pc.setIdentifier("111111");
	}
}
c.客户端调用

[java] view plain copy print ?
  1. public class DemoClient {  
  2.     public static void main(String[] args) {  
  3. <PRE class=java name="code">                HelloWorldService helloWorldService = WebServiceFactory.getHelloWorldService();  
  4.         helloWorldService.sayHello("John");  
  5.     }  
  6. }</PRE>  
  7. <PRE></PRE>  
  8. <P></P>  
  9. <PRE></PRE>  
  10. 小结:  
  11. <P></P>  
  12. <P>这种方式利用服务器端与客户端共享同一用户名密码的方式实现了webservice的安全访问,流程图如下</P>  
  13. <P><IMG style="WIDTH: 433px" alt="" src="http://hi.youkuaiyun.com/attachment/201108/17/0_13135751629tGv.gif" jQuery17013429473743959463="1"></P>  
  14. <P>参考资料:<A href="http://cxf.apache.org/docs/ws-security.html" target=_blank>http://cxf.apache.org/docs/ws-security.html</A><BR>  
  15. </P>  
  16. <P><BR>  
  17. </P>  
  18. <BR>  
SpringCloud工作笔记080---了解一下CXF
添柴程序猿的专栏
09-05 457
拿来的,做为对CXF的了解 技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 APACHE CXF 入门详解 以前没有接触过CXF,项目需要学习,从网上各种找资料加上项目的实践,不断垒字。 CXF (Celtix + XFire)是一个开源的Services框架。CXF 帮助您利用 Frontend 编程 API 来构建和开发 Servi...
ws的interceptor和handler
05-02 878
1、interceptor           ws的interceptor包括client端的in interceptor、out interceptor和server端的in interceptor、out interceptor。      interceptor,拦截器主要在请求相应之前或者之后调用,很好的降低了代码的耦合性,           主要用途有身份认证等 cx
CXF添加拦截器
飞上云端看彩虹
04-26 563
拦截器主要作用是做一些权限过滤,编码处理等; webservice也可以加上拦截器,我们可以给webservice请求加权限判断功能; webservice分服务端和客户端,服务端和客户端都是可以加拦截器的,无论是服务端还是客户端,都分进,出(In,Out)拦截器; 我们先来改下服务端的Server类: package com.java1234.webservice; import ...
CXF客户端添加拦截器报错
乘风晓栈的博客
10-23 3512
CXF客户端报错:(1)错误类型:not a proxy instance(2)错误类型:缺少客户端运行必需的 jar 包 Exception in thread "main" java.lang.NoClassDefFoundError: org/apache/neethi/builders/AssertionBuilder Exception in thread "main" java.lang.NoClassDefFoundError: javax/wsdl/Definition Exception
@service报错_CXF使用及常见报错
weixin_31727937的博客
12-30 969
Apache CXF 是一个开源的 WebService 框架,CXF可以用来构建和开发 WebService,这些服务可以支持多种协议,比如:SOAP、POST/HTTP、HTTP ,CXF 大大简化了WebService并且可以天然地和 Spring 进行无缝集成。CXF是 Celtrix (ESB框架)和 XFire(webserivice) 合并而成,核心是org.apache.cxf....
CXF的拦截器()
青鸟飞鱼
02-12 977
1.CXF的拦截器 1.1理解 • 为什么设计拦截器? 1. 为了在webservice请求过程中,能动态操作请求和响应数据, CXF设计了拦截器. • 拦截器分类: 2. 按所处的位置分:服务器端拦截器,客户端拦截器 3. 按消息的方向分:入拦截器,出拦截器 4. 按定义者分:系统拦截器,自定义拦截   • 拦截器API Interceptor(拦截器接口) Abstrac
使用CXF开发WebService程序的总结():结合拦截器使用
weixin_30696427的博客
01-02 369
1. 使用CXF提供的拦截器 拦截器在我看来分为两端两向,两端分为:客户端和服务端,两向(方向)分为:进(in)和出(out),即大致四类拦截器。 在这里利用cxf提供的 日志拦截器举例 1.1 在服务端的发布类中获取所有拦截器,在 in 和 out两个方向(即调用和返回的过程) 添加日志拦截器 package com.lonely.server...
Apache CXF学习教程:从 HelloWorld 到安全实践
"cxf学习笔记记录了作者学习Apache CXF框架的过程,主要涉及服务端采用cxf+spring的实现方式,客户端使用spring+struts。笔记内容包括基础的Hello World示例、集合类传输、大数据的上传下载以及安全性相关的四个子...
Apache_cxf_学习笔记.docx
06-27
### Apache CXF 学习笔记知识点汇总 #### 一、CXF简介 ##### 1.1 CXF概述 - **背景介绍**:Apache CXF 是一个高性能、功能丰富的开源框架,用于构建和消费 Web 服务。它融合了 Celtix 和 XFire 两个开源项目的...
cxf学习笔记
09-05
### CXF学习笔记知识点 #### 1. 面向服务的架构 (SOA) 和 Web Service - **SOA**:面向服务的架构(Service-Oriented Architecture),它是一种架构模型,强调通过服务来设计、构建和管理软件系统。SOA的核心理念...
cxf学习笔记之结合spring创建客户端
03-17
4. **声明服务代理**:在Spring的配置文件中,声明一个Bean来代理CXF客户端。这个Bean将在Spring容器中被实例化,并通过DI注入到其他需要调用服务的地方。 ```xml ``` 5. **使用服务**:在需要调用服务的...
cxf在客户端定义output 添加用户名、密码
dianjian3768的博客
03-24 673
public static void main(String[] args) {   HelloWs wsClient=new HelloWs();   HelloWorld hws = wsClient.getHelloWorldImplPort();   Client client = ClientProxy.getClient(hws);   client.getOut...
CXF:为服务器端和客户端添加自定义拦截器进行权限检查验证并且控制台打印日志
Sunny
10-11 1443
CXF的拦截器是CXF功能最主要的扩展点。通过自定义的Interceptor,可以改变请求和响应的一些消息处理,其中最基本的原理还是一个动态代理。   Interceptor是CXF架构中一个很有特色的模式。你可以在不对核心模块进行修改的情况下,动态添加很多功能。这对于CXF这个以处理消息为中心的服务框架来说是非常有用的,CXF通过在Interceptor中对消息进行特殊处理,实现了很多重
webService之拦截器
刘杰 廊坊师范学院信息技术提高班十期
04-29 1523
听到拦截器,其实我们就应该想到它的作用:即在我们每次访问请求的时候都会被拦截,先去处理一些其它的事情。比如说在webService上,我们对发布的服务有权限要求,只有有权限的才可以访问我们的服务。而在此处,其实现就要用到我们的拦截器了,具体如下: 服务端 1、添加拦截器类(用户接受客户端消息)public class AuthInterceptor extends AbstractPhase
CXF 简单的安全认证方法
coolwzjcool的专栏
09-10 5177
1、代理工厂模式  long s = new Date().getTime(); // JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean(); ClientProxyFactoryBean factory =
CFX 和Spring 整合Ws Security 出现的问题?
topMan'blog
05-05 275
package com.easyway.cxf.security; import java.io.IOException;import java.util.HashMap;import java.util.Map; import javax.security.auth.callback.Callback;import javax.security.auth.callback.CallbackH...
Apache CXF实战之六 创建安全的Web Service
new is I
05-04 195
本文链接:http://blog.csdn.net/kongxx/article/details/7534035 Apache CXF实战之一 Hello World Web Service Apache CXF实战之二 集成Sping与Web容器 Apache CXF实战之三 传输Java对象 Apache CXF实战之四 构建RESTful Web Service Apache CXF实战...
CXF使用WSS4J实现WS-Security规范之使用用户名令牌
洪荒之地
10-21 5001
CXF使用WSS4J实现WS-Security规范之使用用户名令牌 这个示例是一个简单的UsernameToken,它仅仅包装明文用户名和密码. pom.xml:   www.ishang123.com   复制内容到剪贴板折叠XML/HTML 代码 project xmlns="http://maven.apache.org/PO
Cxf+wss4j的WS-Security实现
热门推荐
08-22 1万+
最近一个项目预研,需要使用webservice,进行消息安全传输,客户要求包括加密和认证。我们使用的ws框架是cxf,认证是很容易做的,通过自定义实现一个Interceptor,就可以进行简单的用户和密码认证。但加密从来没有做过,在网上做了一些工作之后,发现cxf是可以通过wss4j实现签名、加密的。 根据网上的资料,做了一个demo,上传位置在:https://download.csdn.net...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值