WebService(四)

最新推荐文章于 2018-12-27 17:10:08 发布
原创 最新推荐文章于 2018-12-27 17:10:08 发布 · 427 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #web service #soap #cxf

使用 Spring + CXF + WSS4J 实现一个安全可靠的 WS 调用框架
WS-Security,它仅仅是一个规范, WSS4J是它的一个实现

what do 你 该 do?
1. 认证 WS 请求
2. 加密 SOAP 消息

第一种:基于用户令牌的身份认证
1.添加 CXF 提供的 WS-Security 的 Maven 依赖
( 底层实现仍为WSS4J,CXF 只是对其做了一个封装) 

<dependency>
    <groupId>org.apache.cxf</groupId>
    <artifactId>cxf-rt-ws-security</artifactId>
    <version>${cxf.version}</version>
</dependency>

2.服务端 CXF 相关配置

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:cxf="http://cxf.apache.org/core"
       xmlns:jaxws="http://cxf.apache.org/jaxws"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
       http://cxf.apache.org/core
       http://cxf.apache.org/schemas/core.xsd
       http://cxf.apache.org/jaxws
       http://cxf.apache.org/schemas/jaxws.xsd">

    <bean id="wss4jInInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
        <constructor-arg>
            <map>
                <!-- 用户认证(明文密码) -->
                <!-- 表示使用基于“用户名令牌”的方式进行身份认证 -->
                <entry key="action" value="UsernameToken"/>
                <!-- 表示密码以明文方式出现 -->
                <entry key="passwordType" value="PasswordText"/>
                <!-- 需要提供一个用于密码验证的回调处理器(CallbackHandler) -->
                <entry key="passwordCallbackRef" value-ref="serverPasswordCallback"/>
            </map>
        </constructor-arg>
    </bean>

    <jaxws:endpoint id="helloService" implementor="#helloServiceImpl" address="/soap/hello">
        <jaxws:inInterceptors>
            <ref bean="wss4jInInterceptor"/>
        </jaxws:inInterceptors>
    </jaxws:endpoint>

    <cxf:bus>
        <cxf:features>
            <cxf:logging/>
        </cxf:features>
    </cxf:bus>

</beans>

首先定义了一个基于 WSS4J 的拦截器(WSS4JInInterceptor),然后通过 < jaxws:inInterceptors > 将其配置到 helloService 上,最后使用了 CXF 提供的 Bus 特性,只需要在 Bus 上配置一个 logging feature,就可以监控每次 WS 请求与响应的日志了。

3.客户端 CXF 相关配置

<context:component-scan base-package="com.cxf.c"/>

    <bean id="wss4jOutInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
        <constructor-arg>
            <map>
                <!-- 用户认证(明文密码) -->
                <entry key="action" value="UsernameToken"/>
                <entry key="user" value="client"/>
                <entry key="passwordType" value="PasswordText"/>
                <entry key="passwordCallbackRef" value-ref="clientPasswordCallback"/>
            </map>
        </constructor-arg>
    </bean>

    <jaxws:client id="helloService"
                  serviceClass="demo.ws.soap_spring_cxf_wss4j.HelloService"
                  address="http://localhost:8080/Spring-CXF/ws/soap/hello">
        <jaxws:outInterceptors>
            <ref bean="wss4jOutInterceptor"/>
        </jaxws:outInterceptors>
    </jaxws:client>

客户端密码回调处理器

import java.io.IOException;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;
import org.apache.wss4j.common.ext.WSPasswordCallback;
import org.springframework.stereotype.Component;

@Component
public class ClientPasswordCallback implements CallbackHandler {

    @Override
    public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
        WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];
        callback.setPassword("clientpass");
    }
}

4.调用 WS 并观察控制台日志

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
    <SOAP-ENV:Header xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
        <wsse:Security
            xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
            xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
            soap:mustUnderstand="1">
            <wsse:UsernameToken
                wsu:Id="UsernameToken-eafcd726-f2e5-4f60-8345-020fa984d2b6">
                <wsse:Username>yuruixin</wsse:Username>
                <wsse:Password
                    Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">clientpass</wsse:Password>
            </wsse:UsernameToken>
        </wsse:Security>
    </SOAP-ENV:Header>
    <soap:Body>
        <ns2:say xmlns:ns2="http://c.cxf.com/">
            <arg0>springClient</arg0>
        </ns2:say>
    </soap:Body>
</soap:Envelope>

你看看,这就加密完成了。然而你把密码给我暴露出来几个意思 ?给我把密码给成密文。其实,so easy,只需要将”passwordType” value设为”PasswordDigest”就ok啦!记住!server端和client端都得改啊!!!效果如下:

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
    <SOAP-ENV:Header xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
        <wsse:Security
            xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
            xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
            soap:mustUnderstand="1">
            <wsse:UsernameToken
                wsu:Id="UsernameToken-d4c6be41-95c0-4248-8539-52d7e35f7cfd">
                <wsse:Username>yuruixin</wsse:Username>
                <wsse:Password
                    Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest">uClk/hBYPEPWBQP/sobuBcALTpk=</wsse:Password>
                <wsse:Nonce
                    EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">uPjtpWLO5kVx1KNXS5dVtg==</wsse:Nonce>
                <wsu:Created>2016-12-15T03:13:10.690Z</wsu:Created>
            </wsse:UsernameToken>
        </wsse:Security>
    </SOAP-ENV:Header>
    <soap:Body>
        <ns2:say xmlns:ns2="http://c.cxf.com/">
            <arg0>springClient</arg0>
        </ns2:say>
    </soap:Body>
</soap:Envelope>

第二种:基于数字签名的身份认证
1.生成密钥库
创建一个名为 keystore.bat 的批处理文件
运行该批处理程序,将生成两个文件:server_store.jks 与 client_store.jks,随后将 server_store.jks 放入服务端的 classpath 下,将 client_store.jks 放入客户端的 classpath 下。

@echo off

keytool -genkeypair -alias server -keyalg RSA -dname "cn=server" -keypass serverpass -keystore server_store.jks -storepass storepass
keytool -exportcert -alias server -file server_key.rsa -keystore server_store.jks -storepass storepass
keytool -importcert -alias server -file server_key.rsa -keystore client_store.jks -storepass storepass -noprompt
del server_key.rsa

keytool -genkeypair -alias client -dname "cn=client" -keyalg RSA -keypass clientpass -keystore client_store.jks -storepass storepass
keytool -exportcert -alias client -file client_key.rsa -keystore client_store.jks -storepass storepass
keytool -importcert -alias client -file client_key.rsa -keystore server_store.jks -storepass storepass -noprompt
del client_key.rsa

2.完成服务端 CXF 相关配置

<bean id="wss4jInInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
    <constructor-arg>
        <map>
            <!-- 验签(使用对方的公钥) -->
            <!-- action 为 Signature -->
            <entry key="action" value="Signature"/>
            <entry key="signaturePropFile" value="server.properties"/>
        </map>
    </constructor-arg>
</bean>

server.priperties

org.apache.ws.security.crypto.provider=org.apache.wss4j.common.crypto.Merlin
org.apache.ws.security.crypto.merlin.file=server_store.jks
org.apache.ws.security.crypto.merlin.keystore.type=jks
org.apache.ws.security.crypto.merlin.keystore.password=storepass

3.完成客户端 CXF 相关配置

<bean id="wss4jOutInterceptor" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
    <constructor-arg>
        <map>
            <!-- 签名(使用自己的私钥) -->
            <entry key="action" value="Signature"/>
            <entry key="signaturePropFile" value="client.properties"/>
            <entry key="signatureUser" value="client"/>
            <entry key="passwordCallbackRef" value-ref="clientPasswordCallback"/>
        </map>
    </constructor-arg>
</bean>

client.properties

org.apache.ws.security.crypto.provider=org.apache.wss4j.common.crypto.Merlin
org.apache.ws.security.crypto.merlin.file=client_store.jks
org.apache.ws.security.crypto.merlin.keystore.type=jks
org.apache.ws.security.crypto.merlin.keystore.password=storepass

跟到这里出现问题了。。。。。 日后解决吧

java soap 头_Java 调用Web service 加入认证头(soapenv:Header)
weixin_39644377的博客
02-12 510
前言有时候调用web service 会出现Message does not conform to configured policy [ AuthenticationTokenPolicy(S) ]: No Security Header found这种错误。以在 soapui 调用的结果来看, 会出现例如以下的返回出现这种错误的原因 是webservice 的服务端须要提供 soap 认证的...
webservice4
weixin_33709219的博客
07-20 178
原理: 参考 http://lvwenwen.iteye.com/blog/1478236 客户端通过get请求可以得到wsdl文件,也就知道服务器提供的方法和参数了,然后客户端会通过webservice提供的工具类(通常为wsdltojava生成相应的类)。  接下来,客户端会向webservice发送一个soap请求,这个soap请求实际上就是一段xml代码,然后server接收到soap...
WebService(4) CXF入门 简单的服务端和客户端
郑清
12-27 560
CXF Apache CXF = Celtix +XFire,开始叫 Apache CeltiXfire,后来更名为 Apache CXF 了,以下简称为 CXFCXF 继承了 Celtix 和 XFire 两大开源项目的精华,提供了对JAX-WS全面的支持,并且提供了多种 Binding 、DataBinding、Transport 以及各种 Format 的支持,并且可以根据实际项...
WebService(4)_标准JDK发布WebService
Simba_cheng的博客
02-11 1089
使用JDK原生发布WebService,十分方便快捷. 附上项目工程代码 WebService使用JDK发布... 接口 @WebService这个注解,说明该接口是一个WebService接口 package com.jdk.ws; import javax.jws.WebService; @WebService public interface HelloServic
Cxf+wss4j的WS-Security实现
热门推荐
08-22 1万+
最近一个项目预研,需要使用webservice,进行消息安全传输,客户要求包括加密和认证。我们使用的ws框架是cxf,认证是很容易做的,通过自定义实现一个Interceptor,就可以进行简单的用户和密码认证。但加密从来没有做过,在网上做了一些工作之后,发现cxf是可以通过wss4j实现签名、加密的。 根据网上的资料,做了一个demo,上传位置在:https://download.youkuaiyun.com...
WebService种发布方式总结中文WORD版
07-22
资源名称:WebService 种发布方式总结 中文WORD版内容简介: WebService 种发布方式总结 中文WORD版主要讲述的是WebService 种发布方式总结;CXFspring搭建webservice是目前最流行的方式,但是传闻cxf与jdk...
webservice种发布方式及客户端调用
11-03
### WebService 种发布方式及客户端调用详解 #### 一、概述 WebService 技术作为企业级应用间通信的重要手段之一,被广泛应用于不同的系统之间进行数据交换和服务交互。本文将详细介绍种常见的 WebService ...
webservice
07-09
#### 、示例:创建并发布WebService 下面是一个简单的WebService示例,该示例展示如何创建一个名为`HelloService`的服务,并将其发布到特定的URL上。 ```java package com.itcast.ws; import javax.jws....
cxf安全认证
好好学习
11-14 535
我们在使用Web Service的过程中,很多情况是需要对web service请求做认证的,特别涉及到外部系统的调用,那么cxf   的认证就显得的特别的重要。cxf的认证大致可以分为:soapHeader认证,WS-Security 校验等等。   A cxf中的soapheader认证。   基本的原理:客户端在soapHeader中添加header信息,在服务器端通过读取hea...
CXF使用X509证书的WS-Security进行验证
永远在千里之外
10-27 516
[size=large][b]一、相关概念[/b][/size] 提到x509,就不得不提到几个相关概念。 1、Private key 2、Public key 3、KeyStore 4、TrustStore Private key和Public key很简单,字面意思就可以理解,就是常说的私钥和公钥。 KeyStore和TrustStore简单的说就是存储私钥和密钥的容...
Apache Cxf WebService整合Spring
11-06
Apache Cxf WebService整合Spring 处理Map、非javabean式的复合类等CXF无法自动转化的类型 CXF为服务器端和客户端添加自定义拦截器进行权限检查验证并且控制台打印日志
Spring集成CXF实例(包含WSS4J安全认证)
02-26
Spring集成CXF实例(包含WSS4J安全认证)
WSPasswordCallback所属jar
10-29
org.apache.ws.security.WSPasswordCallback所属的jar
cxf webservice接口 实现安全验证
feiteyizu
06-12 485
     基于 spring + apache cxf   1.服务器端 cxf配置: &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSche...
CXF使用WSS4J实现WS-Security规范之使用用户名令牌()
My study notes
04-14 296
转自 http://blog.youkuaiyun.com/fhd001/archive/2010/09/05/5864413.aspx   pom.xml   &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schem...
Apache CXF实战之六 创建安全的Web Service
new is I
05-04 197
本文链接:http://blog.youkuaiyun.com/kongxx/article/details/7534035 Apache CXF实战之一 Hello World Web Service Apache CXF实战之二 集成Sping与Web容器 Apache CXF实战之三 传输Java对象 Apache CXF实战之 构建RESTful Web Service Apache CXF实战...
CXF全接触() --- WS-Security的实现
【昆山人在上海】
01-17 9434
参考本例前,请先阅读下面的2篇资料:http://blog.youkuaiyun.com/kunshan_shenbin/archive/2008/12/26/3613918.aspxhttp://blog.youkuaiyun.com/kunshan_shenbin/archive/2008/12/27/3621990.aspx 我们使用Apache WSS4J这个WS-Security的开源实现,相关
webservice解三类
最新发布
09-14
Web服务(WebService)通常可以分为种解决方案和三个主要类别。 种解决方案包括: 1. SOAP(Simple Object Access Protocol,简单对象访问协议):它是一种基于XML的协议,用于在网络上交换结构化的信息。SOAP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值