CXF SOAP 及其安全控制

最新推荐文章于 2019-07-10 16:30:54 发布
最新推荐文章于 2019-07-10 16:30:54 发布
阅读量100 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java
原文链接:http://www.cnblogs.com/liuchuanfeng/p/6839610.html
本文详细介绍了WSDL和SOAP的基本概念及作用,并重点探讨了如何利用Spring、CXF和WSS4J实现安全可靠的Web服务调用框架。

通过上一篇文章,相信您已经学会了如何使用 CXF 开发基于 SOAP 的 WS 了。或许您目前对于底层原理性的东西还不太理解,心中难免会有些疑问:

什么是 WSDL?

什么是 SOAP?

如何能让 SOAP 更加安全?

我将努力通过本文,针对以上问题,让您得到一个满意的答案。

还等什么呢?就从 WSDL 开始吧!

WSDL 的全称是 Web Services Description Language(Web 服务描述语言),用于描述 WS 的具体内容。

当您成功发布一个 WS 后,就能在浏览器中通过一个地址查看基于 WSDL 文档,它是一个基于 XML 的文档。一个典型的 WSDL 地址如下:

http://localhost:8080/ws/soap/hello?wsdl

注意:WSDL 地址必须带有一个 wsdl 参数。

在浏览器中,您会看到一个标准的 XML 文档:

wsdl

其中,definitions 是 WSDL 的根节点,它包括两个重要的属性:

  1. name:WS 名称,默认为“WS 实现类 + Service”,例如:HelloServiceImplService
  2. targetNamespace:WS 目标命名空间,默认为“WS 实现类对应包名倒排后构成的地址”,例如:http://soap_spring_cxf.ws.demo/

提示:可以在 javax.jws.WebService 注解中配置以上两个属性值,但这个配置一定要在 WS 实现类上进行,WS 接口类只需标注一个 WebService 注解即可。

在 definitions 这个根节点下,有五种类型的子节点,它们分别是:

  1. types:描述了 WS 中所涉及的数据类型
  2. portType:定义了 WS 接口名称(endpointInterface)及其操作名称,以及每个操作的输入与输出消息
  3. message:对相关消息进行了定义(供 types 与 portType 使用)
  4. binding:提供了对 WS 的数据绑定方式
  5. service:WS 名称及其端口名称(portName),以及对应的 WSDL 地址

其中包括了两个重要信息:

  1. portName:WS 的端口名称,默认为“WS 实现类 + Port”,例如:HelloServiceImplPort
  2. endpointInterface:WS 的接口名称,默认为“WS 实现类所实现的接口”,例如:HelloService

提示:可在 javax.jws.WebService 注解中配置 portName 与 endpointInterface,同样必须在 WS 实现类上配置。

如果说 WSDL 是用于描述 WS 是什么,那么 SOAP 就用来表示 WS 里有什么。

其实 SOAP 就是一个信封(Envelope),在这个信封里包括两个部分,一是头(Header),二是体(Body)。用于传输的数据都放在 Body 中了,一些特殊的属性需要放在 Header 中(下面会看到)。

一般情况下,将需要传输的数据放入 Body 中,而 Header 是没有任何内容的,看起来整个 SOAP 消息是这样的:

inbound

可见,HTTP 请求的 Request Header 与 Request Body,这正好与 SOAP 消息的结构有着异曲同工之妙!

看到这里,您或许会有很多疑问:

  1. WS 不应该让任何人都可以调用的,这样太不安全了,至少需要做一个身份认证吧?
  2. 为了避免第三方恶意程序监控 WS 调用过程,能否对 SOAP Body 中的数据进行加密呢?
  3. SOAP Header 中究竟可存放什么东西呢?

没错!这就是我们今天要展开讨论的话题 —— 基于 SOAP 的安全控制。

在 WS 领域有一个很强悍的解决方案,名为 WS-Security,它仅仅是一个规范,在 Java 业界里有一个很权威的实现,名为 WSS4J

下面我将一步步让您学会,如何使用 Spring + CXF + WSS4J 实现一个安全可靠的 WS 调用框架。

其实您需要做也就是两件事情:

  1. 认证 WS 请求
  2. 加密 SOAP 消息

怎样对 WS 进行身份认证呢?可使用如下解决方案:

1. 基于用户令牌的身份认证

第一步:添加 CXF 提供的 WS-Security 的 Maven 依赖

<!-- lang: xml --> <dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-rt-ws-security</artifactId> <version>${cxf.version}</version> </dependency>

其实底层实现还是 WSS4J,CXF 只是对其做了一个封装而已。

第二步:完成服务端 CXF 相关配置

<!-- lang: xml -->
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:cxf="http://cxf.apache.org/core" xmlns:jaxws="http://cxf.apache.org/jaxws" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.0.xsd http://cxf.apache.org/core http://cxf.apache.org/schemas/core.xsd http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd"> <bean id="wss4jInInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor"> <constructor-arg> <map> <!-- 用户认证(明文密码) --> <entry

转载于:https://www.cnblogs.com/liuchuanfeng/p/6839610.html

java cxf 安全,CXF客户端安全
weixin_42416119的博客
02-13 213
I am creating a client to a Java soap web service, but am having trouble figuring out how to properly pass the password. Here is my "hardcoded" password example:@Testpublic void exploratorySecurityTe...
CXF自定义拦截器实现安全机制实例工程
03-12
CXF 自定义拦截器实现的 webservice安全机制实例工程, 带jar包 ,代码注释详细 内有说明文档, 由于资源过大 ,所以客户端jar包 删除掉了, 只需要把服务端的jar 拷贝到 客户端即可 , 小弟刚刚研究完 CXF 安全 。所以贴出资源,希望帮助到你们 。
cxf安全验证完整实例
02-24
这是一个cxf安全验证的完整实例,直接可以部署到应用服务器中运行。
解决cxf Available SOAP services接口的时隐藏接口页面
qingfeng2556的博客
03-21 9136
正常情况下,发布cxf后都会出现 Available SOAP services的页面,这个页面会把所有接口暴露出来,甚至具体参数类型。 为解决这个问题,只需在web.xml中配置 CXFService org.apache.cxf.transport.servlet.CXFServlet hide-service-list-page用来隐藏服务列表页 true
CXF 安全认证
passjia的专栏
05-26 212
CXF的webService已经创建好,但没有安全可言,毕竟这是Internet服务呀。 CXF给了一个很完整的安全架构,但CXF给出的ws_security DEMO太复杂了,又是password jks X509 Timestamp。 我试了很多次都没有成功。化繁为简,只实现一个user password好了。下面开始 编写cxf.xml在原来的bean的地方声明一下就可以了 ...
rest soap cxf webservice maven springmvc
02-18
在IT行业中,REST和SOAP是两种常见的Web服务接口设计风格,而CXF是一个流行的开源框架,用于构建和消费这两种服务。Maven是一个项目管理和综合工具,SpringMVC则是Spring框架的一部分,专门用于构建Web应用程序。...
"深入探讨Web Service中的SOAP安全控制 - ImportNew
在阅读文章《Web Service那点事儿(3)——SOAP及其安全控制 - ImportNew》后,我们了解到了有关SOAP及其安全控制的重要知识。作者通过《Web Service那点事儿(2)——使用CXF开发SOAP服务》一文的学习,让读者掌握...
CXF源码及其lib包
12-17
5. **Spring集成**:CXF与Spring框架深度集成,使得服务可以在Spring容器中管理,利用Spring的优势进行依赖注入、事务控制和安全控制等。在提供的资源中,这个特性对于搭建开发环境特别有用。 6. **客户端API**:...
CXF与Spring整合实现SOAP服务调用示例
CXF与Spring集成后,可以在Spring容器中定义和配置Web服务,利用Spring的依赖注入管理Web服务组件,以及实现服务的声明式安全、事务管理等功能。 #### 使用wsdl2java工具 wsdl2java工具是由Apache CXF提供的,用于...
CXF和spring整合所需jar包
06-29
这样,我们就可以利用Spring的强大功能,如事务管理、安全控制等,同时享受到CXF对Web服务的良好支持。 总结来说,CXF和Spring的整合涉及多个jar包,这些jar包提供了从SOAP到RESTful的各种Web服务支持,以及Spring...
Apache CXF实战之六 创建安全的Web Service
new is I
05-04 200
本文链接:http://blog.youkuaiyun.com/kongxx/article/details/7534035 Apache CXF实战之一 Hello World Web Service Apache CXF实战之二 集成Sping与Web容器 Apache CXF实战之三 传输Java对象 Apache CXF实战之四 构建RESTful Web Service Apache CXF实战...
使用 CXF 开发 SOAP 服务
u010509291的博客
07-29 901
转自其它网页,用来记下学习。 今天我们将视角集中在 REST 上,它是继 SOAP 以后,另一种广泛使用的 Web 服务。与 SOAP 不同,REST 并没有 WSDL 的概念,也没有叫做“信封”的东西,因为 REST 主张用一种简单粗暴的方式来表达数据,传递的数据格式可以是 JSON 格式,也可以是 XML 格式,这完全由您来决定。 REST 全称是 Representational
CXF 简单的安全认证方法
coolwzjcool的专栏
09-10 5182
1、代理工厂模式  long s = new Date().getTime(); // JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean(); ClientProxyFactoryBean factory =
CXF实践中异常总结【记录收藏篇】
webdev
01-01 276
CXF发布WebService以及调用WebService,网上有很多实践的demo。但是根据网上的 demo不断实践,熟练掌握CXF的使用,以及总结开发CXF的异常。 CXF发布服务,有三种形式:根据main方法发布【Java Project项目】;不基于Spring方式发布到Web容器中,比如Tomcat容器【web项目】;基于Spring方式发布到Web容器中。【web项目】 因为...
webservice使用中遇到的问题
weixin_34044273的博客
06-18 646
1.[InvalidOperationException: 因 URL 意外地以“/_vti_bin/ListData.svc/$metadata”结束,请求格式无法识别。] 解决方法:在webservice的web.config里添加,添加后可远程调试 <system.web> <webServices> <protocols> &l...
CXF 服务端校验soapHeader,客户端添加soapHeader 记录
wangml010的博客
07-10 4605
整体需求是这样的,作为服务端,我的接口需要有一个安全验证,因此做了一个拦截器来验证soapHeader。作为客户端,需要往soapHeader中添加双方规定的参数。搞了一天多,在网上看了很多方法,最终还是搞定了。不得不说,现在网上的抄袭现象太严重了,有的博客甚至把别人分享的东西搬过来,连一个字都不带改的…… 服务端拦截器验证soapHeader 服务端主要是spring,接口是通过C...
SpringBoot使用cxf框架开发WebServices以及配置安全验证机制
wangxudongx的专栏
06-19 5546
SpringBoot使用cxf框架开发WebServices以及配置安全验证机制服务端工程服务接口的实现服务接口实现类服务发布类启动服务端客户端工程生成客户端代码编写客户端代码客户端调用代码测试客户端 CXF 继承了 Celtix 和 XFire 两大开源项目的精华,提供了对 JAX-WS 全面的支持,并且提供了多种 Binding 、DataBinding、Transport 以及各种 For...
cxf和HttpClient调用WebService,并设置超时时间
thewangzl的专栏
09-21 3559
    最近项目上要调用其他系统的WebService(Axis搭建),由于接收数据较大耗时4分钟左右,所以要设置超时时间,而且系统中已有jar包的原因,导致许多方法都不能用,最终用HttpClient。 方法一:使用JaxWsDynamicClientFactory调用WebService public static Object call(String wsdl,String m...
webservice接口常见问题1:客户端使用SOAP方式调用CXF服务时异常
yang_han090723的专栏
12-13 4045
客户端使用SOAP方式调用CXF服务时异常: javax.xml.ws.soap.SOAPFaultException: Unexpected wrapper element {http://xxx.com/}hello found. Expected{http://xxx.com/}hello, 原因是客户端和服务器的namespace不同,即客户端和服务端的WebService接口包路径不
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值