SOAP header验证WebService接口的访问权限

最新推荐文章于 2016-09-20 10:20:00 发布
最新推荐文章于 2016-09-20 10:20:00 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: soap webservice security java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tanghuichuping/article/details/84397509
本文详细介绍了如何在Axis2中通过在SOAP协议头增加用户验证信息来实现对外提供服务的权限验证,确保业务方法外部进行安全检查,避免内部业务逻辑暴露敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

webService对外提供的服务,在验证客户端访问权限方面,最笨的验证方法应该是在业务方法上面加参数了,这也是之前的做法!发现网上通行的办法是在SOAP协议头增加对用户的验证。实验完总结如下。

 

客户端采用cxf+spring  配置文件如下

 

<jaxws:endpoint id="receptionAdapter" implementor="#itReceptionAdapter"
		address="/resSync/ITReceptionAdapter">
		<jaxws:inInterceptors>
			<bean class="org.apache.cxf.interceptor.LoggingInInterceptor" />
			<bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
			<bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
				<constructor-arg>
					<map>
						<!--  -->
						<entry key="action" value="UsernameToken" />
						<entry key="passwordType" value="PasswordText" />
						<entry key="user" value="cxfServer" />
						<entry key="passwordCallbackRef">
							<ref bean="serverPasswordCallback" />
						</entry>
					</map>
				</constructor-arg>
			</bean>
		</jaxws:inInterceptors>
	</jaxws:endpoint>

	<bean id="serverPasswordCallback" class="com.ServerPasswordCallback" />

 ServerPasswordCallback相当于filter,代码如下

import java.io.IOException;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.ws.security.WSPasswordCallback;

public class ServerPasswordCallback implements CallbackHandler {

	public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
		WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
		String pw = pc.getPassword();
		String idf = pc.getIdentifier();
		System.out.println("密码是:" + pw);
		System.out.println("类型是:" + idf);
		if (pw.equals("test") && idf.equals("test")) {
			System.out.println("成功");
		} else {
			throw new SecurityException("验证失败");
		}
	}

}

 

客户端采用axis2  生成客户端代码访问

 

ITReceptionAdapterStub adapterStub=new ITReceptionAdapterStub();
		//设置超时
		adapterStub._getServiceClient().getOptions().setTimeOutInMilliSeconds(600000L);
		
		//设置header账号密码
		ServiceClient serviceClient=adapterStub._getServiceClient();
		SOAP11Factory factory=new SOAP11Factory(); 
		OMNamespace SecurityElementNamespace = factory.createOMNamespace("http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd",
				"wsse");
		OMElement usernameTokenEl = factory.createOMElement("UsernameToken",SecurityElementNamespace);
		OMElement usernameEl = factory.createOMElement("Username",SecurityElementNamespace);
		OMElement passwordEl = factory.createOMElement("Password",SecurityElementNamespace);
		OMElement actionEl = factory.createOMElement("Action",SecurityElementNamespace);
		passwordEl.addAttribute(factory.createOMAttribute("Type",null,"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText"));
		usernameEl.setText("test");
		passwordEl.setText("test");
		usernameTokenEl.addChild(usernameEl);
		usernameTokenEl.addChild(passwordEl);
		usernameTokenEl.addChild(actionEl);
		SOAPHeaderBlockImpl block = new SOAP11HeaderBlockImpl("Security",SecurityElementNamespace, factory);
		block.addChild(usernameTokenEl);
		serviceClient.addHeader(block);
		
		
		ProcessE processE=new ProcessE();
		Process process=new Process();
//		process.setXmldata();
		process.setXmldata(jiFangXml);
		process.setName("test");
		process.setPassword("test");
		processE.setProcess(process);
		ProcessResponseE responseE=adapterStub.process(processE);
		String xml=responseE.getProcessResponse().get_return();
		System.out.println(xml);

 好了,这样既可做到在业务方法之外验证用户的权限,对外的业务方法里面也不会出现对权限的验证,不失为一种好办法 。

ps:网上的参考,加上自己经验,记录在此,备查

tanghuichuping
关注
后缀为.asmx的webService接口调用记录(验证SoapHeader权限)
tidesY
09-24 704
后缀为.asmx的webService接口调用记录(验证SoapHeader权限) 1 接口地址: ​ http://ip/xxx/xxx.asmx 2 接口请求报文: POST /xxx/xxx.asmx HTTP/1.1 Host: ip Content-Type: text/xml; charset=utf-8 Content-Length: length SOAPAction: "http://www.xxx.com.cn/xxxMethod" <?xml version="1.0" enc
JAX-WS使用Handler实现简单的WebService权限验证
达拉斯母牛
07-22 9576
WebService如果涉及到安全保密或者使用权限的时候,WS-Security通常是最优选择。WS-Security (Web服务安全) 包含了关于如何在WebService消息上保证完整性和机密性的规约,如何将签名和加密头加入SOAP消息。不过WS-Security也有一些性能上的损耗,在信息保密要求不是很高的情况下,可以通过在SOAPHeader中添加简单的校验信息实现。 具体思路是客户端
webservice 安全认证请求头信息
08-10
NULL 博文链接:https://1193605999.iteye.com/blog/2210417
实现WebserviceSoap Header 的用户验证
waterborn的专栏
05-28 9435
WebService 采用Apache CXF SoapHeader 中结构如下 UserOrgID Hubs1 password    采用Handler 处理链 来拦截SOAP Message 进行验证
webservice头部认证
weixin_30512785的博客
09-20 521
  近期利用Jmeter测试webservice接口并发,调用webservice会出现Message does not conform to configured policy [ AuthenticationTokenPolicy(S) ]: No Security Header found这样的错误。 以在 soapui 调用的结果来看, 会出现如下的返回 出现这种错误...
使用CXF实现带headersoap服务
银剑的博客
01-10 1211
接口部分使用如下代码 package ws.server; import javax.jws.WebMethod; import javax.jws.WebParam; import javax.jws.WebParam.Mode; import javax.jws.WebResult; import javax.jws.WebService; import javax.xm...
觉得用soapHeader来控制访问比较简单,特贴出代码以供大家分享
itsnack
05-05 283
研究webservice有一段时间了,觉得用soapHeader来控制访问比较简单,特贴出代码以供大家分享 1.我们可以做一个很简单的ws测试,服务端的接口代码如下: Java代码 package ws; //Generated by MyEclipse public interface HelloWord { public Stri...
Android端Soap协议Webservice接口调用实例教程
Android端基于SOAP协议的WebService接口调用是一个技术实现,涉及到Android应用开发、网络通信协议以及WebService技术的知识。SOAP(Simple Object Access Protocol)即简单对象访问协议,是一种基于XML的协议,用于...
ASP.NET Webservice安全控制:访问权限策略
ASP.NET中的Webservice安全实现不仅包括基础的SOAP Header身份验证,还可以扩展到更复杂的系统级安全策略,以适应不同级别的安全需求。在实际应用中,应根据项目的需求和风险评估选择合适的安全措施。
Axis2 使用SOAP Header进行授权认证实现详解
"Axis2 通过soap header进行授权服务,客户端可以采取由wsdl文件...Axis2通过SOAP Header进行授权服务提供了灵活且强大的安全性解决方案,无论是在客户端生成Stub代码还是手工编写,都可以有效地控制服务的访问权限
WS的SoapHeader 用户验证
E_say_de
04-28 657
#region 由SoapHeader扩展而来的用户验证类     public class AuthHeader:SoapHeader    {         public string Username;         public string Password;         public string UnitNo;         #region 验证用户密码
crm使用soap分配记录
菜刀居士的专栏
07-23 911
crm使用soap分配记录
Axis2用法(3)soap消息携带消息头
yanghaitaohhh的专栏
12-31 1万+
1、消息头定义 一般soap消息中,消息体是携带消息的核心内容;消息头中的字段,多数用于校验。定义消息头,就相当于定义一个bean对象。本例中,在上一篇的继承上,为消息增加消息头,其中消息头核心内容包括三个字段:serviceId,servPassWord和timeStamp。源代码如下: package com.yht.msg.header; /** * 定义消息头中包含哪些内容的bea
AXIS报文SOAPHEADER认证
luke_lian的专栏
08-26 1617
public class MyClient {     //后台接口类     private MyStub stub;         public MyClient (){             }     /**      * constructo
soap消息的传递和处理(三)——包含header和异常的处理
ps_zhanglei的专栏
12-02 3923
对于IMyService做如下修改: package com.smile.service; import java.util.List; import javax.jws.WebParam; import javax.jws.WebResult; import javax.jws.WebService; /** * @author Loach.Zhang * SEI service
如何在Axis2中添加SOAP
热门推荐
怀揣梦想,努力前行
12-01 2万+
通过AXIOM生成所需头对象,然后将该头对象添加至ServiceClient对象即可
在Axis2中添加SOAP
三月神的专栏
08-12 4338
WSDL文件生成方式参照: http://blog.youkuaiyun.com/a19881029/article/details/40194787 客户端代码生成方式参照: http://blog.youkuaiyun.com/a19881029/article/details/40198649 最后生成的客户端代码格式如下: MathStub.java类中的add方法有下面这一
通过axis2发起WS请求时添加SOAP header
swordinhand的专栏
12-02 1646
首先要获得一个ServiceClient对象,因为这个对象是org.apache.axis2.client.Stub里面定义的,所以你生成的stub里面应该直接就可以使用这个对象,或者调用stub的_getServiceClient()方法来获取这个对象。 得到这个对象之后,添加soap header的方法有如下几种 1,使用addStringHeader方法 [code="java"]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值