CXF是webservice的一个框架,因为他与spring可以无缝整合,所以我选择了cxf来进行webservice开发。
但是一个webservice在外网部署的时候就要考虑权限验证的问题了,在这里我是参考网上的资料通过拦截器(Interceptor)进行权限验证,客户端在soapHeader中添加header信息,在服务器端通过读取header中的信息来进行验证
interceptor是cxf提供拦截器,具体说明如下:
拦截器(Interceptor)简单说明
Interceptor是CXF架构中一个很有特色的模式。你可以在不对核心模块进行修改的情况下,动态添加很多功能。这对于CXF这个以处理消息为中心的服务框架来说是非常有用的,CXF通过在Interceptor中对消息进行特殊处理,实现了很多重要功能模块,例如:日志记录,Soap消息处理,消息的压缩处。简单的说,可以在收到请求后,还未进行业务处理前,进行处理。或者在请求包发送前,进行报文的处理。
几个的API的介绍
Interceptor
定义两个方法,一个处理消息 handleMessage, 一个是处理错误 handleFault。
InterceptorChain
单个的Interceptor功能有限,CXF要实现一个SOAP消息处理,需要将许许多多的Interceptor组合在一起使用。因此设计了 InterceptorChain,在我看了InterceptorChain就像是一个Interceptor的小队长。 小队长有调配安置Interceptor的权力(add,remove),也有控制消息处理的权力(doInterceptor,pause,resume,reset,abort),同时也有交付错误处理的权力( {get|set}FaultObserver)。更有意思的是为灵活控制Interceptor的处理消息顺序(doInterceptStartingAt,doInterceptorStartingAfter),这也是InterceptorChain比较难理解的地方。
Fault
定义了CXF中的错误消息。(如权限验证不通过的时候可以通过throw new Fault(soapExc)进行错误输出)
InterceptorProvider
这里定义了Interceptor的后备保障部队。我们可以在InterceptorProvider中设置In,Out,InFault,OutFault 后备小分队,添加我们所希望添加的Interceptor。而InterceptorChain会根据这些后备小分队,组建自己的小分队实例,完成具体的作战功能任务。
AbstractAttributedInterceptorProvider
InterceptorProvider实现的抽象类,由于这个类来继承了HashMap,我们可以像这个类中存储一些属性信息。
AbstractBasicInterceptorProvider
与AbstractAttributedInterceptorProvider不同,这个Interceptor只是简单实现了InterceptorProvider的功能,并不提供对其属性存储的扩展。
Message
由于Interceptor是针对Message来进行处理的,当你打开Message这个类文件时,你会发现在Message中定义了很多常量,同时你还可以从Message中获取到很多与Message操作相关的信息。可以获取设置的对象有InterceptorChain Exchange Destination,还有获取设置Content的泛型接口,是不是感觉Message和Bus差不多,都成了大杂货铺,一切与消息处理相关的信息都可以放在Message中。
下面就是我写的代码,在这里做个备份
服务器端:
spring-config-service.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jaxws="http://cxf.apache.org/jaxws"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd">
<import resource="classpath:META-INF/cxf/cxf.xml"/>
<import resource="classpath:META-INF/cxf/cxf-extension-soap.xml"/>
<import resource="classpath:META-INF/cxf/cxf-servlet.xml"/>
<bean id="userServiceBean" class="com.benben.webservice.service.impl.UserServiceImpl"/>
<bean id="inMessageInterceptor" class="com.benben.Interceptor.SampleInterceptor">
<constructor-arg value="receive"/>
</bean>
<bean id="outLoggingInterceptor" class="org.apache.cxf.interceptor.LoggingOutInterceptor"/>
<bean id="inInterceptor" class="com.benben.Interceptor.AuthInterceptor"/>
<!-- 注意下面的address,这里的address的名称就是访问的WebService的name -->
<jaxws:server id="userService" serviceClass="com.benben.webservice.service.UserService" address="/Users">
<jaxws:serviceBean>
<!-- 要暴露的 bean 的引用 -->
<ref bean="userServiceBean"/>
</jaxws:serviceBean>
<jaxws:inInterceptors>
<ref bean="inInterceptor"/>
</jaxws:inInterceptors>
</jaxws:server>
</beans>
spring-config.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd"
default-autowire="byName">
<import resource="classpath:META-INF/cxf/cxf.xml" />
<import resource="classpath:META-INF/cxf/cxf-extension-soap.xml" />
<import resource="classpath:META-INF/cxf/cxf-servlet.xml" />
<import resource="spring-config-service.xml" />
</beans>
最重要的是AuthInterceptor类
代码如下:
package com.benben.Interceptor;
import javax.xml.soap.SOAPException;
import javax.xml.soap.SOAPHeader;
import javax.xml.soap.SOAPMessage;
import org.apache.cxf.binding.soap.SoapMessage;
import org.apache.cxf.binding.soap.saaj.SAAJInInterceptor;
import org.apache.cxf.interceptor.Fault;
import org.apache.cxf.phase.AbstractPhaseInterceptor;
import org.apache.cxf.phase.Phase;
import org.w3c.dom.NodeList;
public class AuthInterceptor extends AbstractPhaseInterceptor<SoapMessage> {
private SAAJInInterceptor saa = new SAAJInInterceptor();
public AuthInterceptor() {
super(Phase.PRE_PROTOCOL);
getAfter().add(SAAJInInterceptor.class.getName());
}
public void handleMessage(SoapMessage message) throws Fault {
SOAPMessage mess = message.getContent(SOAPMessage.class);
if (mess == null) {
saa.handleMessage(message);
mess = message.getContent(SOAPMessage.class);
}
SOAPHeader head = null;
try {
head = mess.getSOAPHeader();
} catch (Exception e) {
e.printStackTrace();
}
if (head == null) {
return;
}
NodeList nodes = head.getElementsByTagName("tns:spId");
NodeList nodepass = head.getElementsByTagName("tns:spPassword");
if (nodes.item(0).getTextContent().indexOf("wang") != -1) {
if (nodepass.item(0).getTextContent().equals("can")) {
System.out.println("认证成功");
}
} else {
SOAPException soapExc = new SOAPException("认证错误");
throw new Fault(soapExc);
}
}
}
import javax.xml.soap.SOAPHeader;
import javax.xml.soap.SOAPMessage;
这里需要强调一下,一定要引入的是这两个包下的类,刚开始我就是因为引用错包,造成我调了一天的问题
客户端代码:
HeaderIntercepter
package com.benben.Interceptor;
import org.apache.cxf.binding.soap.SoapHeader;
import org.apache.cxf.binding.soap.SoapMessage;
import org.apache.cxf.binding.soap.interceptor.AbstractSoapInterceptor;
import org.apache.cxf.headers.Header;
import org.apache.cxf.helpers.DOMUtils;
import org.apache.cxf.interceptor.Fault;
import org.apache.cxf.phase.AbstractPhaseInterceptor;
import org.apache.cxf.phase.Phase;
import org.w3c.dom.Document;
import org.w3c.dom.Element;
import javax.xml.XMLConstants;
import javax.xml.namespace.QName;
import java.text.SimpleDateFormat;
import java.util.Date;
import java.util.List;
/**
* token认证
* User: wangcanpei
* Date: 2012-02-08
* Time: 18:01:15
*/
public class HeaderIntercepter extends AbstractSoapInterceptor {
private String qname;
public HeaderIntercepter(){
super(Phase.WRITE);
}
public void handleMessage(SoapMessage soapMessage) throws Fault {
String spPassword="wang";
String spName="can";
QName name=new QName("RequestSOAPHeader");
Document doc=DOMUtils.createDocument();
Element spId=doc.createElement("tns:spId");
spId.setTextContent(spName);
Element spPass=doc.createElement("tns:spPassword");
spPass.setTextContent(spPassword);
Element root=doc.createElementNS(qname, "tns:RequestSOAPHeader");
root.appendChild(spId);
root.appendChild(spPass);
SoapHeader head=new SoapHeader(name,root);
List<Header> headers=soapMessage.getHeaders();
headers.add(head);
}
private Object getHeader() {
QName qName=new QName("", "", "");
Document document= DOMUtils.createDocument();
Element element=document.createElementNS(qname, "RequestSOAPHeader");
Element token = document.createElement("token");
token.setTextContent("kkkkk");
//element.appendChild(token);
SoapHeader header=new SoapHeader(qName, token);
return(header);
}
public String getQname() {
return qname;
}
public void setQname(String qname) {
this.qname = qname;
}
}
配置文件 applicationContext-client.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jaxws="http://cxf.apache.org/jaxws"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd">
<import resource="classpath:META-INF/cxf/cxf.xml"/>
<import resource="classpath:META-INF/cxf/cxf-extension-soap.xml"/>
<import resource="classpath:META-INF/cxf/cxf-servlet.xml"/>
<bean id="inMessageInterceptor" class="com.benben.Interceptor.HeaderIntercepter">
<property name="qname" value="http://localhost/cxfTest/services/Users" />
</bean>
<jaxws:client id="userWsClient" serviceClass="com.benben.webservice.service.UserService"
address="http://localhost/cxfTest/services/Users">
<jaxws:inInterceptors>
<bean class="org.apache.cxf.interceptor.LoggingInInterceptor"/>
<bean class="com.benben.Interceptor.SampleInterceptor"/>
</jaxws:inInterceptors>
<jaxws:outInterceptors>
<!--<bean class="com.benben.Interceptor.HeaderIntercepter"/>-->
<!--<bean class="org.apache.cxf.interceptor.LoggingOutInterceptor"/>-->
<ref bean="inMessageInterceptor" />
</jaxws:outInterceptors>
</jaxws:client>
</beans>
代码具体如下:
分享到:
相关推荐
java CXF客户端请求ERP SAP webservice通过用户名和密码验证功能!
本教程将详细介绍如何利用Spring Boot与CXF进行集成,以发布Web服务并实现用户和密码验证的客户端调用。 首先,我们需要在Spring Boot项目中引入CXF的依赖。这通常通过在`pom.xml`文件中添加对应的Maven依赖来完成...
权限验证是确保只有经过身份验证和授权的用户才能访问特定资源的过程。在CXF中,这可以通过实现不同级别的安全性来完成,如基本认证、OAuth、WS-Security等。我们将重点讨论基本认证和WS-Security这两种常见的实现...
SpringBoot整合CXF并实现用户名密码...在这个示例中,我们只是简单地实现了用户名密码校验,但是在实际项目中,我们可能需要使用更加复杂的校验机制,例如使用数据库来存储用户名和密码,或者使用OAuth2进行身份验证。
1. **基本认证**:这是最简单的身份验证方式,涉及到用户名和密码的传递。在CXF中,可以通过在Spring配置文件中添加`<security:basic-authentication>`元素来启用此功能。 2. **Digest认证**:相比基本认证,Digest...
2. **配置安全策略**:CXF支持通过`WSS4JOutInterceptor`进行安全策略配置。我们需要创建该拦截器并设置适当的属性,如`wsse:UsernameToken`用于用户名和密码认证,或者`wsse:Security`用于更复杂的认证机制。 ```...
4. **WS-Security**:支持诸如WS-Trust、WS-SecureConversation等规范,可以实现更复杂的身份验证和会话管理。例如,使用X.509证书进行签名和加密。 5. **角色基授权**:通过在SOAP消息中添加WS-政策或WS-Security...
【标题】"cxf+ws-security-JAR"指的是Apache CXF框架与WS-Security整合创建的JAR包,用于在Web服务(Web Service)中实现基于用户名和密码的身份验证安全调用。 【描述】该描述指出,这个项目是关于如何使用Apache ...
CXF允许开发者创建安全的SOAP或RESTful服务,并提供客户端工具来调用这些服务,包括进行必要的身份验证和登录过程。 【标签】:“cxf例子认证登录客户端,cxf学习,cxf实例,cxf” 这些标签突出了几个关键的学习点...
在IT行业中,CXF和Spring框架的整合是构建高效、灵活的企业级Web服务的重要手段。本教程将深入探讨如何将Apache ...通过这种方式,开发者可以利用CXF的强大功能和Spring的灵活性,构建出健壮且安全的Web服务解决方案。
3. **基本认证**:这是最简单的一种方式,用户凭据(用户名和密码)被编码为Base64字符串,并放入HTTP请求的Authorization头。在C#中,可以使用`System.Net.Http.Headers.HttpRequestHeaders.Authorization`来设置此...
客户端配置包括使用`WSS4JOutInterceptor`拦截器和`ClientPasswordCallback`类来加载用户名和密码,而服务端则使用`WSS4JInInterceptor`拦截器和`ServerPasswordCallback`类来验证传入请求的用户身份。 在客户端,`...
【描述】提到的"给CXF加上了一把密码锁"意味着在CXF的Web服务中实现了身份验证和加密功能,这通常是通过配置WS-Security策略来实现的。WS-Security提供了多种安全特性,如数字签名、消息加密、用户名令牌、X.509证书...
1. **用户名令牌验证**: 用户名和密码可以通过WSS4J添加到SOAP头中,服务器端通过验证这些信息确保请求来源的合法性。 2. **数字签名**: 使用公钥/私钥对,对SOAP消息进行签名,确保消息的完整性和不可篡改性。 3....
例如,如果我们需要只有指定用户名和密码的用户才能访问某个WebService,可以在客户端的出拦截器中添加相应的验证逻辑。在请求头中包含用户名和密码信息,并在服务端验证这些信息,确保只有满足条件的请求才能被处理...
本篇文章将深入探讨如何在CXF中添加SOAP头部信息,并进行验证,以确保服务的安全性和正确性。 首先,我们需要理解SOAP头部的作用。SOAP头是SOAP消息的一个可选部分,它包含了除消息体之外的附加信息,如安全凭证、...
7. **安全控制**:通过Spring Security或CXF自身的安全模块,可以实现对Web服务的认证和授权,如添加用户名/密码验证、SSL加密等。 8. **集成测试**:利用Spring Test和CXF的模拟测试工具,可以方便地进行Web服务的...
4. **安全性配置**:Spring Security可以与CXF集成,实现Web服务的安全控制,如用户名/密码验证、角色权限控制等。 5. **事务管理**:如果服务操作涉及数据库事务,可以利用Spring的事务管理能力来控制事务的边界。...
- 如果服务配置了安全机制(如SSL/TLS、WS-Security),CXF会在客户端启动时进行相应的安全设置,如证书验证、用户名/密码认证等。 通过以上步骤,CXF客户端完成了启动和准备过程,能够向服务端发起请求并处理响应...