基于XFire实施WS-Security(第一部分)
使用用户名/密码进行身份认证
对SOAP报文进行身份认证的方式很多,不过都是通过在SOAP报文头中添加一些安全凭证(Security Token)信息来完成的,主要包括以下一些身份凭证:
用户名/密码; X.509 证书; Kerberos 票据和认证者; SIM 卡的移动设备安全性凭证。
其中用户名/密码是最简单的身份认证方式,它不需要密钥、数字证书,所以也就不需要CA,部署实施简单易行。下面我们就通过例子讲解如何进行基于用户名/密码的SOAP认证。这个实例让客户端提供用户名/密码,服务端验证客户端的身份,而客户端按正常方式接收SOAP响应报文。
服务端
服务端创建一个applicationContext-ws-security.xml,让BbtForumService拥有用户名/密码的认证功能。
代码清单1 applicationContext-ws-security.xml:身份认证
<beans>
<import resource="classpath:org/codehaus/xfire/spring/xfire.xml" />
<bean id="baseWebService"class="org.codehaus.xfire.spring.remoting.XFireExporter"
lazy-init="false" abstract="true">
<property name="serviceFactory" ref="xfire.serviceFactory" />
<property name="xfire" ref="xfire" />
</bean>
<bean parent="baseWebService">
<property name="serviceBean" ref="bbtForum" />
<property name="serviceClass"
value="com.baobaotao.xfire.server.BbtForumService" />
<property name="name" value="BbtForumServiceUT"/>①Web Service名称
<property name="inHandlers">
<list>
<ref bean="domInHandler" />②负责将STAX流模型的SOAP转换为DOM模型
<ref bean="wss4jInHandler" />③对用户名/密码进行检查
</list>
</property>
</bean>
<bean id="domInHandler"class="org.codehaus.xfire.util.dom.DOMInHandler" />
<bean id="wss4jInHandler"class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">
<property name="properties">
<props>
<prop key="action">UsernameToken</prop>④指定认证类型
<prop key="passwordCallbackClass">⑤指定一个密码回调实现类
com.baobaotao.xfire.wss4j.server.UtPasswordHandler
</prop>
</props>
</property>
</bean>
<bean id="bbtForum" class="com.baobaotao.service.BbtForum" />
</beans>
对SOAP报文体进行加密
虽然通过数字签名解决了完整性和不可抵赖性的安全问题,但报文体还是以明文的方式进行发送,在传输过程中,报文的内容有可能被监视,保密性得不到保证。
如果报文体中包含了一些敏感的内容,则发送者希望报文的内容能以加密的方式进行传输,防止窥视。通过对SOAP报文体进行加密,即可解决保密性的问题。
客户端使用服务端的公钥对请求SOAP报文进行加密,服务端公钥包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为 server,访问服务端数字证书无须密码。服务端需要使用私钥进行解密,服务端私钥包含在服务端的密钥对中,在serverStore.jks中服务端密钥对的别名为server,访问私钥的密码为serverpass。
在XFire中对SOAP报文体进行加密解密需要解决的主要就是注册相应的Handler,并为其提供相应的访问密钥的信息。
服务端
服务端处理加密的SOAP请求报文前,需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥,所以要进行相应的配置:
代码清单17 applicationContext-ws-security.xml:报文加密
<bean id="bbtForumServiceEnc" parent="baseWebService">
<property name="serviceBean" ref="bbtForum"/>
<property name="serviceClass"
value="com.baobaotao.xfire.server.BbtForumService"/>
<property name="name" value="BbtForumServiceEnc" />
<property name="inHandlers">
<list>
<ref bean="domInHandler"/>
<ref bean="wss4jInHandlerEnc"/>
</list>
</property>
</bean>
<bean id="wss4jInHandlerEnc" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">
<property name="properties">
<props>
<prop key="action">Encrypt</prop>①加密动作(因为是InHandler所以是解密)
②解密操作需要访问保存着server私钥的密钥库,
通过属性文件提供相应的配置信息
<prop key="decryptionPropFile">
com/baobaotao/xfire/wss4j/server/insecurity_enc.properties
</prop>
③ 通过密码回调类获得密钥对中私密的访问密码
<prop key="passwordCallbackClass">
com.baobaotao.xfire.wss4j.server.PasswordHandler
</prop>
</props>
</property>
</bean>
通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息,包括访问密码和密钥库文件的位置,如下所示:
org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin
org.apache.ws.security.crypto.merlin.keystore.type=jks
org.apache.ws.security.crypto.merlin.keystore.password=storepass①密钥库访问密码
org.apache.ws.security.crypto.merlin.file=META-INF/xfire/serverStore.jks②密钥库文件位置
由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息,因此WSS4JInHandler可以获取数字证书对应的用户(即 server密钥对的别名)。但访问私钥需要密码,所以还是必须提供一个密码回调类,以获取server私钥的访问密码,如代码清单17中③所示。 PasswordHandler密码回调类如下所示:
代码清单18 PasswordHandler
package com.baobaotao.xfire.wss4j.server;
…
public class PasswordHandler implements CallbackHandler {
private static final Map<String,String> pwMockDB = new HashMap<String,String>();
static{
pwMockDB.put("server", "serverpass");
}
public void handle(Callback[] callbacks) throws WSSecurityException{
WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];
String id = callback.getIdentifer();
callback.setPassword(pwMockDB.get(id));
}
}
分享到:
相关推荐
基于XFire实施WS-Security,学习web service的材料
xfire1.2.6 ws-security示例,也就是让里面的例子跑起来,网上都没这个教程,所以我就花了点点时间做了一下
XFire中实现WS-SecurityXFire中实现WS-SecurityXFire中实现WS-Security
eclipse下spring+xfire实现ws-security的简单例子,包含服务器和客户端的代码,实现用户名/密码.数字签名和报文加密的安全认证,唯一不足的是没有实现数字签名和报文加密的混合模式(可能是密匙文件的问题,正在努力中),...
xfire 实施ws-security代码,多线程发送邮件工具类代码
NULL 博文链接:https://zhaoshijie.iteye.com/blog/839050
xfire-all-1.2.6 xfire所需的全部包
webservice中用到的jar,xfire-jaxws-1.2.6.jar,xfire-jaxws-1.2.6.jar,xfire-jaxws-1.2.6.jar
一个压缩包3个文件(含源码) 费好大功夫找到的... Project metadata download: xfire-core-1.2.6.pom Binary download: xfire-core-1.2.6.jar Source download: xfire-core-1.2.6-sources.jar
webservice中用到的jar,xfire-spring-1.2.6.jar,xfire-spring-1.2.6.jar,xfire-spring-1.2.6.jar,xfire-spring-1.2.6.jar
需要引入如下包:commons-codec-1.2.jar、commons-httpclient-3.0.1.jar、jdom.jar、xfire-all-1.2.6.jar、wsdl4j-1.5.1.jar、commons-logging-1.0.4.jar、XmlSchema-1.4.7.jar
xfire-distribution-1.2.3旧版,适合项目为JDK1.4开发使用
xfire-spring-1.2.6-sources.jarxfire-spring-1.2.6-sources.jar
xfire-distribution-1.2.6
XFire1.2版本,其中修改了META-INF/services 目录下的javax.xml.ws.spi.Provider文件,解决因为jdk1.6和XFire的架包冲突问题
使用xfire创建webservice是需要用的所有包,还有跟spring集成时(如果缺少)可能会报错的包,希望对大家有用 xfire-all-1.2.6.jar,jdom.jar,wsdl4j-1.5.1.jar,xbean-spring-2.8.jar
xfire-aegis-1.2.6.jar
xfire-spring-1.2.6.jar
xfire-annotations-1.2.6.jar