1.http://www.ibm.com/developerworks/cn/edu/j-dw-java-cxf.html CXF简介
2.http://www.ibm.com/developerworks/cn/webservices/ws-secure/ ws-security
3.http://wiki.springside.org.cn/display/calvin/CXF?decorator=printable 入门
4.http://blog.sina.com.cn/s/blog_5443f53b0100053e.html 用户名/密码验证
WS-Security 提供了无限多种方法来验证用户。规范中说明了其中的三种方法:
1、用户名/密码
2、通过 X.509 证书的 PKI
3、Kerberos
1.用户名/密码
用于传递调用方凭据的最常见方法之一是使用用户名和密码。这是一项用于 HTTP 基本身份验证和简要身份验证的技术。实际上,如果您熟悉 HTTP 简要身份验证的工作原理,就可以灵活地运用这一身份验证机制。
为了以此方式传递用户凭据,WS-Security 定义了 UsernameToken 元素。
<wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>
以上是以纯文本格式发送的密码示例。该解决方案看上去很容易遭到破坏。如果希望以更安全的方式发送密码,可以发送它的简要散列。
<wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordDigest">
KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
<wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
<wsu:Created xmlns:wsu=
"http://schemas.xmlsoap.org/ws/2002/07/utility">
2002-08-19T00:44:02Z
</wsu:Created>
</wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordDigest">
KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
<wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
<wsu:Created xmlns:wsu=
"http://schemas.xmlsoap.org/ws/2002/07/utility">
2002-08-19T00:44:02Z
</wsu:Created>
</wsse:UsernameToken>
使用 SHA1 散列会使密码变得不易识别,因而可以增加安全性。密码简要散列是随机内容、创建时间与密码的组合。随机内容的长度是 16 字节,以 base64 编码值的形式传递。其工作原理是客户端使用所有这些信息加上密码来创建密码散列。接收方通过获取其中的密码并再次创建散列来验证此数据。如果结果一致,则表明密码正确。但这种保护方式不能防范重复攻击。如果使用这种保护方式,请确保包括一个 wsu:Timestamp 标头,其中包含一个足够小的时间窗口,用以提供创建时间值和过期时间值。然后,对消息中的 wsu:Timestamp 元素进行签名,以便可以检测到对时间戳的任何篡改。否则,攻击者可能使用完整的 UsernameToken 攻击您的 Web 服务。为防范重复攻击,您还需要包含一个机制,用于跟踪传入消息的某个唯一特性。这种机制需要将此特性保存到缓存中,并且至少持续到消息超时。
4.运行服务端和客户端日志的解释:
2010-7-9 8:58:48 org.apache.cxf.interceptor.LoggingOutInterceptor$LoggingCallback onClose
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope> <soap:Envelope>
--------------------------------------
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope> <soap:Envelope>
--------------------------------------
Inbound Message 输出的是服务器端接收到的SOAP信息
Outbound Message 输出的服务器端响应的SOAP信息
Headers: 它前面是SOAP消息的标识、编码方式、MIME类型,{}是消息报头
Payload: SOAP消息的真正内容,如果你的某些注解的header=true,那么它将被放到<soap:Header>中传输,而不是SOAP消息正文。
UTPasswordCallback.java:
你会发现Digest密文密码情况下,UTPasswordCallback的password属性((WSPasswordCallback)callbacks[i].getPassword())为null,你能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询密码,然后再设置到password属性,WSS4J会自动比较客户端传来的值和你设置的这个值。你可能会问为什么这里CXF不把客户端提交的密码传入让我们在ServerPasswordCallbackHandler中比较呢?如果我们要在回调方法中作比较,那么第一步要做的就是把服务端准备好的密码加密为Md5字符串,由于Md5算法参数不同结果也会有差别,另外,这样的工作CXF替我们完成不是更简单吗?
相关推荐
Apache CXF是一个开源的Java框架,它主要用于构建和开发服务导向架构(SOA)中的Web服务。这个"apache cxf_jar包"包含了实现基于Java的Web服务所需的一系列核心库。下面我们将深入探讨这些jar文件及其在Web服务实现...
Apache CXF 框架是一个比较有前途的开源 Web Services 框架,也是构建 SOA 架构应用的利器。本书采用案例源码和解说形式全面介绍 Apache CXF 框架的功能。 本书共 15 章,大致分为三个部分。第一部分介绍关于 SOA 和...
Apache CXF是一个开源的Java框架,专门用于构建和部署Web服务。它提供了全面的工具和技术,使得开发人员能够轻松地创建、实现和部署基于SOAP(简单对象访问协议)和RESTful(表述性状态转移)风格的服务。这两本书籍...
Apache CXF 是一款广泛使用的开源框架,主要用于构建和部署高质量的Web服务。它以其灵活性、易用性和强大的功能集而闻名。"apache-cxf-3.5.0.zip" 文件包含了CXF框架的3.5.0版本,该版本可能包含了一些新特性、改进...
Apache CXF Apache CXF Apache CXF Apache CXF Apache CXF Apache CXF Apache CXF Apache CXF Apache CXF
Apache CXF是一个开源的Web服务框架,由Apache软件基金会开发并维护,专注于提供高质量的SOAP和RESTful服务。它的名称CXF来源于两个前身项目:XFire和Celtix的组合,这两个项目在2006年合并成为Apache CXF。Apache ...
Apache CXF是一个开源的Java框架,它主要用于构建和开发服务导向架构(SOA)和Web服务。这个项目的核心目标是提供一个工具集,使开发者能够轻松地创建和部署基于SOAP和RESTful的服务。CXF这个名字来源于两个曾经流行...
Apache CXF是一个开源框架,主要用于构建和开发Web服务。它提供了强大的工具和支持,使得开发者能够轻松地创建、部署和管理SOAP(Simple Object Access Protocol)和RESTful(Representational State Transfer)服务...
Apache CXF = Celtix + XFire,Apache CXF 的前身叫 Apache CeltiXfire,现在已经正式更名为 Apache CXF 了,以下简称为 CXF。CXF 继承了 Celtix 和 XFire 两大开源项目的精华,提供了对 JAX-WS 全面的支持,并且...
2013版的 <基于Apache CXF构建SOA应用> 源码 Apache CXF是一个开放源码的Web服务框架,提供了一个易于使用,用于开发Web Services标准为基础的编程模型。本书主要介绍Apache CXF在构建SOA架构各个方面的应用说明和...
Apache CXF 是一个开源的Java Web服务框架,它支持多种Web服务标准,包括SOAP、RESTful API、WS-*协议栈等。3.1.8版本是该框架的一个稳定发行版,提供了一系列增强功能和错误修复。以下是关于Apache CXF 3.1.8及其...
apache cxf 2.1.3 的用户手册
Apache CXF是一个开源的Java框架,它主要用于构建和开发Web服务。这个框架允许开发者通过SOAP、RESTful HTTP、XML以及各种协议来实现服务接口。在本案例中,我们讨论的是"apache-cxf-3.4.3.tar.gz",这是Apache CXF ...
Apache CXF 是一个开源的Java框架,主要用于构建和开发Web服务。这个项目源自XFire,并在2006年合并到Apache基金会,更名为CXF,意为“CXF is for eXtending and Fusing Web Services”。Apache CXF 2.0.10 版本是该...
### Apache CXF HelloWorld 示例详解 #### 一、Apache CXF简介与特点 Apache CXF(以下简称为CXF)是一款非常流行的开源项目,用于构建和服务Web Services。它整合了两个著名的开源项目:Apache Celtix 和 XFire。...
Apache CXF是一个开源的Java框架,它主要用于构建和开发服务导向架构(SOA)和Web服务。这个"apache-cxf-2.2.10"版本是该框架的一个历史版本,发布于较早的时期。在本文中,我们将详细介绍如何安装和配置Apache CXF ...
Apache CXF 是一个开源的Java框架,主要用于构建和开发服务导向架构(SOA)和Web服务。这个"apache-cxf-3.1.6.zip"是Apache CXF的3.1.6版本的官方完整包,发布于2016年4月14日,包含了与Spring框架的集成支持。 **...
Apache CXF是一个开源的服务框架,它允许开发人员构建和部署SOAP和RESTful Web服务。CXF的名字来源于"CXF = Client eXtension Framework + XFire",它整合了两个先前独立的Web服务框架——CXF和XFire。这个合集包含...