CXF 密码权限控制 SOAP刊头处理
CXF 密码权限控制 SOAP报头处理
是的..没有session..这个问题暂时还没解决..
你有好的解决方法么?
呵呵..继续研究...
前一段时间写了一篇CXF密码验证_服务端和客户端配置
当时没有系统的讲解:
个人认为CXF认证方式很多.一种就像上一篇文章写的是直接对传送的数据包进行密码封装!
另一种就是现在要介绍的是另外一种.对SOAP头处理..把需要验证的密码封装在SOAP头里传送!
可能表达不是很清楚..看代码吧:
1:服务端spring里的配置:
<bean id="Customer" class="org.web.HelloServiceImpl"></bean>
<jaxws:endpoint id="custom" implementor="#Customer" address="/web" >
<jaxws:inInterceptors>
<bean class="org.apache.cxf.interceptor.LoggingInInterceptor" />
<!--<bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
-->
<bean class="org.web.soapHeader.ReadSoapHeader"></bean>
<!--<bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
<constructor-arg>
<map>
<entry key="action" value="UsernameToken" />
<entry key="passwordType"
value="PasswordText" />
<entry key="user" value="cxfServer" />
<entry key="passwordCallbackRef">
<ref bean="serverPasswordCallback" />
</entry>
</map>
</constructor-arg>
</bean> -->
</jaxws:inInterceptors>
</jaxws:endpoint>
这个里面是有注释的..区别上一个密码验证的示例!
关键代码就有一句: <bean class="org.web.soapHeader.ReadSoapHeader"></bean>
这个是自己写的读取soap信息.查看密码是否正确!
2:soap读入信息的验证:ReadSoapHeader代码:
public class ReadSoapHeader extends AbstractPhaseInterceptor<SoapMessage> {
private SAAJInInterceptor saa=new SAAJInInterceptor();
public ReadSoapHeader(){
super(Phase.PRE_PROTOCOL);
getAfter().add(SAAJInInterceptor.class.getName());
}
public void handleMessage(SoapMessage message) throws Fault {
SOAPMessage mess=message.getContent(SOAPMessage.class);
if(mess==null){
saa.handleMessage(message);
mess=message.getContent(SOAPMessage.class);
}
SOAPHeader head=null;
try {
head = mess.getSOAPHeader();
} catch (SOAPException e) {
e.printStackTrace();
}
if(head==null){
return;
}
NodeList nodes=head.getElementsByTagName("tns:spId");
NodeList nodepass=head.getElementsByTagName("tns:spPassword");
if(nodes.item(0).getTextContent().indexOf("wdw")!=-1){
if(nodepass.item(0).getTextContent().equals("wdwsb")){
System.out.println("认证成功");
}
}
else{
SOAPException soapExc=new SOAPException("认证错误");
throw new Fault(soapExc);
}
}
}
功能:判断客户端传来的soap信息头是否有密码..有的话判断是否正确!
3:客户端spring的配置:
<bean id="webTest" class="org.web.HelloService" factory-bean="client" factory-method="create"/> <bean id="client" class="org.apache.cxf.jaxws.JaxWsProxyFactoryBean" > <property name="address" value="http://127.0.0.1:88/Hello/web/web"></property> <property name="serviceClass" value="org.web.HelloService"></property> <property name="outInterceptors"> <list> <bean class="org.apache.cxf.interceptor.LoggingOutInterceptor" /> <!--<bean class="org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor" /> --> <bean class="org.web.soapHeader.AddSoapHeader"></bean> <!--<bean class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor"> <constructor-arg> <map> <entry key="action" value="UsernameToken" /> <entry key="passwordType" value="PasswordText" /> <entry key="user" value="cxfClient" /> <entry key="passwordCallbackRef"> <ref bean="clientPasswordCallback" /> </entry> </map> </constructor-arg> </bean> --> </list> </property> </bean>
PS:注意注释>...重点是:
<bean class="org.web.soapHeader.AddSoapHeader"></bean>
4:对soap进行如入头信息.把密码加进去:AddSoapHeader代码:
public class AddSoapHeader extends AbstractSoapInterceptor {
private static String nameURI="http://127.0.0.1/Hello/web";
public AddSoapHeader(){
super(Phase.WRITE);
}
public void handleMessage(SoapMessage message) throws Fault {
SimpleDateFormat sd=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
Date date=new Date();
String time =sd.format(date);
String spPassword="wdwsb";
String spName="wdw";
QName qname=new QName("RequestSOAPHeader");
Document doc=DOMUtils.createDocument();
Element spId=doc.createElement("tns:spId");
spId.setTextContent(spName);
Element spPass=doc.createElement("tns:spPassword");
spPass.setTextContent(spPassword);
Element root=doc.createElementNS(nameURI, "tns:RequestSOAPHeader");
root.appendChild(spId);
root.appendChild(spPass);
SoapHeader head=new SoapHeader(qname,root);
List<Header> headers=message.getHeaders();
headers.add(head);
}
}
很简单的东西...现在密码已经加进去了...spring里也已经配置好了..
客户端就可以正常的请求了..对请求的内容会进行soap头处理.把密码加进去....
服务端通过了客户端的权限密码请求就可以了.
东西很简单..不用过多的讲解了吧...
有什么疑问和见解..请提出来...大家共同学习!!
........
1 楼
ltian
2010-06-02
所有的SOAP访问都要这样处理吗?那么如何知道该身份的人是否有权限访问这个服务呢?
这里的访问一定没有Session的概念吧?
这里的访问一定没有Session的概念吧?
2 楼
xbcoil
2010-06-03
ltian 写道
所有的SOAP访问都要这样处理吗?那么如何知道该身份的人是否有权限访问这个服务呢?
这里的访问一定没有Session的概念吧?
这里的访问一定没有Session的概念吧?
是的..没有session..这个问题暂时还没解决..
你有好的解决方法么?
3 楼
wangchengyong
2010-06-03
session是有的,客户端每次请求服务端都生成session,返回jsessionid给客户端。
我就是不知道怎么保持客户端和服务端的session?
我就是不知道怎么保持客户端和服务端的session?
4 楼
xbcoil
2010-06-04
wangchengyong 写道
session是有的,客户端每次请求服务端都生成session,返回jsessionid给客户端。
我就是不知道怎么保持客户端和服务端的session?
我就是不知道怎么保持客户端和服务端的session?
呵呵..继续研究...
5 楼
houlingling
2010-08-12
服务端把jsessionid传递给客户端 客户端保存在cookie里
然后 客户端再把jsessionid以隐藏字段的形式传递给服务端
然后 客户端再把jsessionid以隐藏字段的形式传递给服务端
6 楼
plstryagain
2010-09-28
<p>cxf 涉及安全方面主要有三个途径。<br><br>1. transport level的, https, 通过配置jetty来获得。cxf kit里面有一个例子wsdl_first_https, 很详细的讲了怎么使用https<br><br>2. soap message的,也就是通过WS-SECURITY协议对soap消息进行各种签名 加密 时间戳,传输密码(各种不同的Token)等操作,cxf中利用了Apache wss4j这个项目来实现WS-SECURITY, 楼主的例子就是UsernameToken的使用。<br>cxf kit里面ws_security有不少具体的例子,有兴趣可以看一下。<br><br>3. 最简单的方式是使用Http Basic Auth, 这个也是jaxws 规范里面要求必须实现的。<br><br>关于cxf security的相关讨论,在<a href="/forums/39/topics/680732/posts/cxf%20%E6%B6%89%E5%8F%8A%E5%AE%89%E5%85%A8%E6%96%B9%E9%9D%A2%E4%B8%BB%E8%A6%81%E6%9C%89%E4%B8%89%E4%B8%AA%E9%80%94%E5%BE%84%E3%80%82%20%201.%20transport%20level%E7%9A%84%EF%BC%8C%20https%EF%BC%8C%20%E9%80%9A%E8%BF%87%E9%85%8D%E7%BD%AEjetty%E6%9D%A5%E8%8E%B7%E5%BE%97%E3%80%82cxf%20kit%E9%87%8C%E9%9D%A2%E6%9C%89%E4%B8%80%E4%B8%AA%E4%BE%8B%E5%AD%90wsdl_first_https%EF%BC%8C%20%E5%BE%88%E8%AF%A6%E7%BB%86%E7%9A%84%E8%AE%B2%E4%BA%86%E6%80%8E%E4%B9%88%E4%BD%BF%E7%94%A8https%20%202.%20soap%20message%E7%9A%84%EF%BC%8C%E4%B9%9F%E5%B0%B1%E6%98%AF%E9%80%9A%E8%BF%87WS-SECURITY%E5%8D%8F%E8%AE%AE%E5%AF%B9soap%E6%B6%88%E6%81%AF%E8%BF%9B%E8%A1%8C%E5%90%84%E7%A7%8D%E7%AD%BE%E5%90%8D%20%E5%8A%A0%E5%AF%86%20%E6%97%B6%E9%97%B4%E6%88%B3%EF%BC%8C%E4%BC%A0%E8%BE%93%E5%AF%86%E7%A0%81(%E5%90%84%E7%A7%8D%E4%B8%8D%E5%90%8C%E7%9A%84Token)%E7%AD%89%E6%93%8D%E4%BD%9C%EF%BC%8Ccxf%E4%B8%AD%E5%88%A9%E7%94%A8%E4%BA%86Apache%20wss4j%E8%BF%99%E4%B8%AA%E9%A1%B9%E7%9B%AE%E6%9D%A5%E5%AE%9E%E7%8E%B0WS-SECURITY,%20%E6%A5%BC%E4%B8%BB%E7%9A%84%E4%BE%8B%E5%AD%90%E5%B0%B1%E6%98%AFUsernameToken%E7%9A%84%E4%BD%BF%E7%94%A8%E3%80%82%20cxf%20kit%E9%87%8C%E9%9D%A2ws_security%E6%9C%89%E4%B8%8D%E5%B0%91%E5%85%B7%E4%BD%93%E7%9A%84%E4%BE%8B%E5%AD%90%EF%BC%8C%E6%9C%89%E5%85%B4%E8%B6%A3%E5%8F%AF%E4%BB%A5%E7%9C%8B%E4%B8%80%E4%B8%8B%E3%80%82%20%203.%20%20%E6%9C%80%E7%AE%80%E5%8D%95%E7%9A%84%E6%96%B9%E5%BC%8F%E6%98%AF%E4%BD%BF%E7%94%A8Http%20Basic%20Auth,%20%E8%BF%99%E4%B8%AA%E4%B9%9F%E6%98%AFjaxws%20%E8%A7%84%E8%8C%83%E9%87%8C%E9%9D%A2%E8%A6%81%E6%B1%82%E5%BF%85%E9%A1%BB%E5%AE%9E%E7%8E%B0%E7%9A%84%E3%80%82%20%20%E5%85%B3%E4%BA%8Ecxf%20security%E7%9A%84%E7%9B%B8%E5%85%B3%E8%AE%A8%E8%AE%BA%EF%BC%8C%E5%9C%A8cxf%20maillinglist%E9%87%8C%E9%9D%A2%E6%9C%89%E5%BE%88%E5%A4%9A%EF%BC%8C%E5%A4%A7%E5%AE%B6%E6%9C%89%E5%85%B4%E8%B6%A3%E5%8F%AF%E4%BB%A5%E5%8E%BB%E6%9F%A5%E7%9C%8B">cxf maillinglist</a>里面有很多,大家有兴趣可以去查看<br></p>
<p>Cxf网站上面的<a class="external-link" rel="nofollow" href="http://cxf.apache.org/docs/index.html">User's Guide</a>也对security有详细的讲解。</p>
<p>还有就是<a href="http://fusesource.com">FuseSource</a> 也有<a href="http://fusesource.com/documentation/fuse-service-framework-documentation/">Cxf的文档</a>, Fuse Services Framework就是基于<a href="http://cxf.apache.org">Apache Cxf.</a></p>
<p> </p>
<p>Freeman<br><br>------------------------<br><a href="http://fusesource.com">FuseSource</a>: http://fusesource.com<br><a href="http://servicemix.apache.org">Apache Servicemix</a>:http://servicemix.apache.org<br><a href="http://cxf.apache.org">Apache Cxf</a>: http://cxf.apache.org<br><a href="http://karaf.apache.org/">Apache Karaf</a>: http://karaf.apache.org<br><a href="http://felix.apache.org/">Apache Felix</a>: http://felix.apache.org<br></p>
<p>Cxf网站上面的<a class="external-link" rel="nofollow" href="http://cxf.apache.org/docs/index.html">User's Guide</a>也对security有详细的讲解。</p>
<p>还有就是<a href="http://fusesource.com">FuseSource</a> 也有<a href="http://fusesource.com/documentation/fuse-service-framework-documentation/">Cxf的文档</a>, Fuse Services Framework就是基于<a href="http://cxf.apache.org">Apache Cxf.</a></p>
<p> </p>
<p>Freeman<br><br>------------------------<br><a href="http://fusesource.com">FuseSource</a>: http://fusesource.com<br><a href="http://servicemix.apache.org">Apache Servicemix</a>:http://servicemix.apache.org<br><a href="http://cxf.apache.org">Apache Cxf</a>: http://cxf.apache.org<br><a href="http://karaf.apache.org/">Apache Karaf</a>: http://karaf.apache.org<br><a href="http://felix.apache.org/">Apache Felix</a>: http://felix.apache.org<br></p>
7 楼
opleo
2011-03-22
我的应用场景如下:
接口地址:http://localhost:9763/services/UserWebService?wsdl
其wsdl文本片断如下:
<wsdl:service name="UserWebService"><wsdl:port name="UserWebServiceHttpsSoap11Endpoint" binding="ns:UserWebServiceSoap11Binding"><soap:address location="https://192.168.3.105:9443/services/UserWebService.UserWebServiceHttpsSoap11Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpSoap11Endpoint" binding="ns:UserWebServiceSoap11Binding"><soap:address location="http://192.168.3.105:9763/services/UserWebService.UserWebServiceHttpSoap11Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpsSoap12Endpoint" binding="ns:UserWebServiceSoap12Binding"><soap12:address location="https://192.168.3.105:9443/services/UserWebService.UserWebServiceHttpsSoap12Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpSoap12Endpoint" binding="ns:UserWebServiceSoap12Binding"><soap12:address location="http://192.168.3.105:9763/services/UserWebService.UserWebServiceHttpSoap12Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpEndpoint" binding="ns:UserWebServiceHttpBinding"><http:address location="http://192.168.3.105:9763/services/UserWebService.UserWebServiceHttpEndpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpsEndpoint" binding="ns:UserWebServiceHttpBinding"><http:address location="https://192.168.3.105:9443/services/UserWebService.UserWebServiceHttpsEndpoint/"/></wsdl:port></wsdl:service>
现在我要访问https对应的端点,迁扯到证书方面的问题,请问下,我应怎么去做呢,
接口地址:http://localhost:9763/services/UserWebService?wsdl
其wsdl文本片断如下:
<wsdl:service name="UserWebService"><wsdl:port name="UserWebServiceHttpsSoap11Endpoint" binding="ns:UserWebServiceSoap11Binding"><soap:address location="https://192.168.3.105:9443/services/UserWebService.UserWebServiceHttpsSoap11Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpSoap11Endpoint" binding="ns:UserWebServiceSoap11Binding"><soap:address location="http://192.168.3.105:9763/services/UserWebService.UserWebServiceHttpSoap11Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpsSoap12Endpoint" binding="ns:UserWebServiceSoap12Binding"><soap12:address location="https://192.168.3.105:9443/services/UserWebService.UserWebServiceHttpsSoap12Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpSoap12Endpoint" binding="ns:UserWebServiceSoap12Binding"><soap12:address location="http://192.168.3.105:9763/services/UserWebService.UserWebServiceHttpSoap12Endpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpEndpoint" binding="ns:UserWebServiceHttpBinding"><http:address location="http://192.168.3.105:9763/services/UserWebService.UserWebServiceHttpEndpoint/"/></wsdl:port><wsdl:port name="UserWebServiceHttpsEndpoint" binding="ns:UserWebServiceHttpBinding"><http:address location="https://192.168.3.105:9443/services/UserWebService.UserWebServiceHttpsEndpoint/"/></wsdl:port></wsdl:service>
现在我要访问https对应的端点,迁扯到证书方面的问题,请问下,我应怎么去做呢,
8 楼
dlut_chen
2011-05-24
如果你的data有安全性要求,只用WS-SECURITY是无法满足的,SSL是比较简单安全的方法。我个人不建议走WS_*路线。
Web services的设计思想是无状态的,所以是没有session这个概念的,当然你可以自己实现security token 来代替 hashed password
Http Basic Auth+SSL从安全性看问题不大,但是不是一个好的设计模式对externel webservice,在WS-SECURITY中timestamp是用来做避免重访攻击的。
Web services的设计思想是无状态的,所以是没有session这个概念的,当然你可以自己实现security token 来代替 hashed password
Http Basic Auth+SSL从安全性看问题不大,但是不是一个好的设计模式对externel webservice,在WS-SECURITY中timestamp是用来做避免重访攻击的。