`
joy_cz
  • 浏览: 135317 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

J2EE Web服务开发系列之六: 使用Handler来增强Web服务的功能

阅读更多

转自:http://www.ibm.com/developerworks/cn/webservices/ws-handler/index.html

J2EE Web服务开发系列之六: 使用Handler来增强Web服务的功能
本文是J2EE Web服务开发系列文章的第六篇,本文从SOAP消息中Handler的基本概念入手,逐步深入讨论Handler的各种典型使用(生成日志、用户认证、用户授权、信息加密/解密)以及实现方法。
0 评论:
陈亚强 (cyqcims@mail.tsinghua.edu.cn), 高级软件工程师
2003 年 8 月 01 日

内容
阅读本文前您需要以下的知识和工具:
Apache axis1.1,并且会初步使用;
Tomcat 4.0以上, 并且会初步使用;
SOAP消息(SOAP Message)编程知识;
JAX-RPC编程基础知识;
Java安全编程基础知识。

本文的参考资料见 参考资料。
本文的全部代码在这里 下载。
Handler的基本概念

J2EE Web 服务中的Handler技术特点非常像Servlet技术中的Filter。我们知道,在Servlet中,当一个HTTP到达服务端时,往往要经过多个Filter对请求进行过滤,然后才到达提供服务的Servlet,这些Filter的功能往往是对请求进行统一编码,对用户进行认证,把用户的访问写入系统日志等。相应的,Web服务中的Handler通常也提供一下的功能:
对客户端进行认证、授权;
把用户的访问写入系统日志;
对请求的SOAP消息进行加密,解密;
为Web Services对象做缓存。
SOAP消息Handler能够访问代表RPC请求或者响应的SOAP消息。在JAX-RPC技术中,SOAP消息Handler可以部署在服务端,也可以在客户端使用。
下面我们来看一个典型的SOAP消息Handler处理顺序:
某个在线支付服务需要防止非授权的用户访问或者撰改服务端和客户端传输的信息,从而使用消息摘要(Message Digest)的方法对请求和响应的SOAP消息进行加密。当客户端发送SOAP消⑹保突Ф说腍andler把请求消息中的某些敏感的信息(如信用卡密码)进行加密,然后把加密后的SOAP消息传输到服务端;服务端的SOAP消息Handler截取客户端的请求,把请求的SOAP 消息进行解密,然后把解密后的SOAP消息派发到目标的Web服务端点。
Apache axis是我们当前开发Web服务的较好的选择,使用axisWeb服务开发工具,可以使用Handler来对服务端的请求和响应进行处理。典型的情况下,请求传递如图1所示。

图1 SOAP消息的传递顺序
在图中,轴心点(pivot point)是Apache与提供程序功能相当的部分,通过它来和目标的Web服务进行交互,它通常称为Provider。axis中常用的Provider有Java:RPC,java:MSG,java:EJB。一个Web服务可以部署一个或者多个Handler。
Apache axis中的Handler体系结构和JAX-RPC 1.0(JSR101)中的体系结构稍有不同,需要声明的是,本文的代码在axis中开发,故需要在axis环境下运行。
在axis环境下,SOAP消息Handler必须实现org.apache.axis.Handler接口(在JAX-RPC 1.0规范中,SOAP消息Handler必须实现javax.xml.rpc.handler.Handler接口),org.apache.axis.Handler接口的部分代码如下:
例程1 org.apache.axis.Handle的部分代码
public interface Handler extends Serializable {
    public void init(); 
    public void cleanup();
    public void invoke(MessageContext msgContext) throws AxisFault ;
    public void onFault(MessageContext msgContext);
    public void setOption(String name, Object value);   
    public Object getOption(String name);
  
    public void setName(String name);  
    public String getName();    
    public Element getDeploymentData(Document doc);
    public void generateWSDL(MessageContext msgContext) throws AxisFault;
   …
}
为了提供开发的方便,在编写Handler时,只要继承org.apache.axis.handlers. BasicHandler即可,BasicHandler是Handler的一个模板,我们看它的部分代码:
例程2 BasicHandler的部分代码
public abstract class BasicHandler implements Handler {
    protected static Log log =
        LogFactory.getLog(BasicHandler.class.getName());
    protected Hashtable options;
    protected String name;
    //这个方法必须在Handler中实现。
public abstract void invoke(MessageContext msgContext) throws AxisFault;
public void setOption(String name, Object value) {
        if ( options == null ) initHashtable();
        options.put( name, value );
    }

}
BasicHandler中的(MessageContext msgContext)方法是Handler实现类必须实现的方法,它通过MessageContext来获得请求或者响应的SOAPMessage对象,然后对SOAPMessage进行处理。
在介绍Handler的开发之前,我们先来看一下目标Web服务的端点实现类的代码,如例程3所示。
例程3 目标Web服务的端点实现类
package com.hellking.webservice;
public class HandleredService
{
//一个简单的Web服务
public String publicMethod(String name)
{
  return "Hello!"+name;
}
}
//另一个Web服务端点:
package com.hellking.webservice;
public class OrderService
{
       //web服务方法:获得客户端的订单信息,并且对订单信息进行对应的处理,
通常情况是把订单的信息写入数据库,然后可客户端返回确认信息。
public String orderProduct(String name,String address,String item,int quantity,Card card)
{
  String cardId=card.getCardId();
  String cardType=card.getCardType();
  String password=card.getPassword();
  String rderInfo="name="+name+",address="+address+",item="+item+",quantity="+quantity+"
,cardId="+cardId+",cardType="+cardType+",password="+password;
  System.out.println("这里是客户端发送来的信息:");
  System.out.println(orderInfo); 
  return orderInfo;
}
}
下面我们分不同情况讨论Handler的使用实例。
回页首
使用Handler为系统做日志

Handler为系统做日志是一种比较常见而且简单的使用方式。和Servlet中的Filter一样,我们可以使用Handler来把用户的访问写入系统日志。下面我们来看日志Handler的具体代码,如例程4所示。
例程4 LogHandler的代码
package com.hellking.webservice;
import java.io.FileOutputStream;
import java.io.PrintWriter;
import java.util.Date;
import org.apache.axis.AxisFault;
import org.apache.axis.Handler;
import org.apache.axis.MessageContext;
import org.apache.axis.handlers.BasicHandler;
public class LogHandler extends BasicHandler {
 
   /**invoke,每一个handler都必须实现的方法。
  */
    public void invoke(MessageContext msgContext) throws AxisFault
    {
       //每当web服务被调用,都记录到log中。
        try {
            Handler handler = msgContext.getService();
            String filename = (String)getOption("filename");
            if ((filename == null) || (filename.equals("")))
                throw new AxisFault("Server.NoLogFile",
                                 "No log file configured for the LogHandler!",
                                    null, null);
            FileOutputStream fos = new FileOutputStream(filename, true);           
            PrintWriter writer = new PrintWriter(fos);           
            Integer counter = (Integer)handler.getOption("accesses");
            if (counter == null)
                counter = new Integer(0);
           
            counter = new Integer(counter.intValue() + 1);           
            Date date = new Date();
            msgContext.getMessage().writeTo(System.out);
          
            String result = "在"+date + ": Web 服务 " +
                            msgContext.getTargetService() +
                            " 被调用,现在已经共调用了 " + counter + " 次.";
            handler.setOption("accesses", counter);           
            writer.println(result);           
            writer.close();
        } catch (Exception e) {
            throw AxisFault.makeFault(e);
        }
    }
}
前面我们说过,Handler实现类必须实现invoke方法,invoke方法是Handler处理其业务的入口点。LogHandler的主要功能是把客户端访问的Web服务的名称和访问时间、访问的次数记录到一个日志文件中。
下面部署这个前面开发的Web服务对像,然后为Web服务指定Handler。编辑Axis_Home/WEB-INF/ server-config.wsdd文件,在其中加入以下的内容:
<service name="HandleredService" provider="java:RPC">
  <parameter name="allowedMethods" value="*"/>
  <parameter name="className" value="com.hellking.webservice.HandleredService"/>
  <parameter name="allowedRoles" value="chen"/>
  <beanMapping languageSpecificType="java:com.hellking.webservice.Card"
qname="card:card" xmlns:card="card"/>
  <requestFlow>
<handler name="logging" type="java:com.hellking.webservice.LogHandler">
  <parameter name="filename" value="c:\\MyService.log"/>
</handler>
  </requestFlow>
</service>

</globalConfiguration>

  <handler name="logging" type="java:com.hellking.webservice.LogHandler">
  <parameter name="filename" value="c:\\MyService.log"/>
</handler>

<service name="HandleredService" provider="java:RPC">

  <requestFlow>
  <handler type="logging"/>
   …<!--在这里可以指定多个Handler-->
  </requestFlow>
</service>
http://127.0.0.1:8080/handler/services/HandleredService?wsdl&method=publicMethod&name=chen
注意:这个URL需要根据具体情况改变。
在Sun Jul 06 22:42:03 CST 2003: Web 服务 HandleredService 被调用,现在已经共调用了 1 次.
在Sun Jul 06 22:42:06 CST 2003: Web 服务 HandleredService 被调用,现在已经共调用了 2 次.
在Sun Jul 06 22:42:13 CST 2003: Web 服务 HandleredService 被调用,现在已经共调用了 3 次.
回页首
使用Handler对用户的访问认证

使用Handler为用户访问认证也是它的典型使用,通过它,可以减少在Web服务端代码中认证的麻烦,同时可以在部署描述符中灵活改变用户的访问权限。
对用户认证的Handler代码如下:
例程5 认证的Handler
package com.hellking.webservice;
import….
//此handler的目的是对用户认证,只有认证的用户才能访问目标服务。
public class AuthenticationHandler extends BasicHandler
{
/**invoke,每一个handler都必须实现的方法。
  */
public void invoke(MessageContext msgContext)throws AxisFault

        SecurityProvider provider = (SecurityProvider)msgContext.getProperty("securityProvider");
  if(provider==null)
  {
   provider= new SimpleSecurityProvider();
             msgContext.setProperty("securityProvider", provider);
         }
        if(provider!=null)
        {        
         String userId=msgContext.getUsername();
         String password=msgContext.getPassword();
        
         //对用户进行认证,如果authUser==null,表示没有通过认证,
抛出Server.Unauthenticated异常。
            org.apache.axis.security.AuthenticatedUser authUser
= provider.authenticate(msgContext);
            if(authUser==null)
              throw new AxisFault("Server.Unauthenticated",
Messages.getMessage("cantAuth01", userId), null,null);
            //用户通过认证,把用户的设置成认证了的用户。
            msgContext.setProperty("authenticatedUser", authUser);
        }
    }
}
在AuthenticationHandler代码里,它从MessageContext中获得用户信息,然后进行认证,如果认证成功,那么就使用msgContext.setProperty("authenticatedUser", authUser)方法把用户设置成认证了的用户,如果认证不成功,那么就抛出Server.Unauthenticated异常。
部署这个Handler,同样,在server-config里加入以下的内容:
<handler name="authen" type="java:com.hellking.webservice.AuthenticationHandler"/>

<service name="HandleredService" provider="java:RPC">
<parameter name="allowedRoles" value="chen"/>

</service>
WEB-INF/users.lst文件中加入以下用户:
hellking hellking
chen chen
http://127.0.0.1:8080/handler/services/HandleredService?wsdl&method=publicMethod&name=chen
将会提示输入用户名和密码,如图2所示。

图2 访问web服务时的验证
如果客户端是应用程序,那么可以这样在客户端设置用户名和密码:
例程6 在客户端设置用户名和密码
http://127.0.0.1:808
String endpointURL = "http://127.0.0.1:8080/handler/services/HandleredService?wsdl";           
            Service  service = new Service();
            Call     call    = (Call) service.createCall();
            call.setTargetEndpointAddress( new java.net.URL(endpointURL) );
            call.setOperationName( new
QName("HandleredService", "orderProduct") );//设置操作的名称。
            //由于需要认证,故需要设置调用的用户名和密码。
            call.getMessageContext().setUsername("chen");
            call.getMessageContext().setPassword("chen");
回页首
使用Handler对用户的访问授权

对于已经认证了的用户,有时在他们操作某个特定的服务时,还需要进行授权,只有授权的用户才能继续进行操作。我们看对用户进行授权的Handler的代码。
例程7 对用户进行授权的代码
package com.hellking.webservice;
import…
//此handler的目的是对认证的用户授权,只有授权的用户才能访问目标服务。
public class AuthorizationHandler extends BasicHandler
{
/**invoke,每一个handler都必须实现的方法。
  */
public void invoke(MessageContext msgContext)
        throws AxisFault
    {
     
        AuthenticatedUser user = (AuthenticatedUser)msgContext.getProperty("authenticatedUser");
        if(user == null)
            throw new AxisFault("Server.NoUser", Messages.getMessage("needUser00"), null, null);
        String userId = user.getName();
        Handler serviceHandler = msgContext.getService();
        if(serviceHandler == null)
            throw new AxisFault(Messages.getMessage("needService00"));
        String serviceName = serviceHandler.getName();
        String allowedRoles = (String)serviceHandler.getOption("allowedRoles");
        if(allowedRoles == null)
        {         
            return;
        }
        SecurityProvider provider = (SecurityProvider)msgContext.getProperty("securityProvider");
        if(provider == null)
            throw new AxisFault(Messages.getMessage("noSecurity00"));
        for(StringTokenizer st = new StringTokenizer(allowedRoles, ","); st.hasMoreTokens();)
        {
            String thisRole = st.nextToken();
            if(provider.userMatches(user, thisRole))
            {
                return;//访问授权通过。
            }
        }
        //没有通过授权,不能访问目标服务,抛出Server.Unauthorized异常。
        throw new AxisFault("Server.Unauthorized",
Messages.getMessage("cantAuth02", userId, serviceName), null, null);
    }    
}
在service-config.wsdd文件中,我们为Web服务指定了以下的用户:
<parameter name="allowedRoles" value="chen,hellking"/>
provider.userMatches(user, thisRole)将匹配允许访问Web服务的用户,如果匹配成功,那么授权通过,如果没有授权成功,那么抛出Server.Unauthorized异常。
回页首
使用Handler对SOAP消息进行加密、解密

由于SOAP消息在HTTP协议中传输,而HTTP协议的安全度是比较低的,怎么保证信息安全到达对方而不泄漏或中途被撰改,将是Web服务必须解决的问题。围绕Web服务的安全,有很多相关的技术,比如WS-Security,WS-Trace等,另外,还有以下相关技术:
XML Digital Signature(XML数字签名)
XML Encryption (XML加密)
XKMS (XML Key Management Specification)
XACML (eXtensible Access Control Markup Language)
SAML (Secure Assertion Markup Language)
ebXML Message Service Security
Identity Management & Liberty Project
不管使用什么技术,要使信息安全到达对方,必须把它进行加密,然后在对方收到信息后解密。为了提供开发的方便,可以使用Handler技术,在客户端发送信息前,使用客户端的Handler对SOAP消息中的关键信息进行加密;在服务端接收到消息后,有相应的Handler把消息进行解密,然后才把SOAP消息派发到目标服务。
下面我们来看一个具体的例子。加入使用SOAP消息发送订单的信息,订单的信息如下:
例程8 要发送的订单SOAP消息
点击查看代码清单
上面的黑体字是传输的敏感信息,故需要加密。我们可以使用Message Digest之类的方法进行加密。加密之后的信息结构如下:
例程9 把SOAP消息某些部分加密
<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope …
<soapenv:Body>
  <ns1:orderProduct …>
   …
   <arg4 href="#id0"/>
  </ns1:orderProduct>
  <multiRef …>
   <ns3:EncryptedData xmlns:ns3="http://www.w3.org/2000/11/temp-xmlenc">
    <ns3:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
    <ns3:DigestValue>rO0ABXQAkyA8Y2FyZ…….
</ns3:DigestValue>
   </ns3:EncryptedData>
  </multiRef>
</soapenv:Body>
</soapenv:Envelope>
图3是使用Handler对SOAP消息进行加密、解密后,SOAP消息在传递过程中结构的改变。

图3 SOAP消息的加密和解密
从上图可以看出,通过使用加密、解密的Handler,可以确保消息的安全传递。进一步说,如果把这种Handler做成通用的组件,那么就可以灵活地部署到不同的服务端和客户端。
客户端的Handler的功能是把SOAP消息使用一定的规则加密,假如使用Message Digest加密方式,那么可以这样对敏感的信息加密:
例程10 对SOAP消息的敏感部分加密
点击查看代码清单
在客户端发送出SOAP消息时,客户端的Handler拦截发送的SOAP消息,然后对它们进行加密,最后把加密的信息传送到服务端。
服务端接收到加密的信息后,解密的Handler会把对应的加密信息解密。服务端Handler代码如例程11所示。
例程11 服务端解密Handler
package com.hellking.webservice;
import…
//此handler的目的是把加密的SOAP消息解密成目标服务可以使用的SOAP消息。
public class MessageDigestHandler extends BasicHandler
{
/**invoke,每一个handler都必须实现的方法。
  */
public void invoke(MessageContext msgContext)throws AxisFault
{
  try
  {  
   //从messageContext例取得SOAPMessage对象。
   SOAPMessage msg=msgContext.getMessage();
   SOAPEnvelope env=msg.getSOAPPart().getEnvelope();
   Iterator it=env.getBody().getChildElements();  
   SOAPElement multi=null;
   while(it.hasNext())
    {
     multi=(SOAPElement)it.next();//multi是soapbody的最后一个child。
    }
   String value="";//value表示加密后的值。
   SOAPElement digestValue=null;
   Iterator it2=multi.getChildElements();
   while(it2.hasNext())
   {
    SOAPElement temp=(SOAPElement)it2.next();
    Iterator it3=temp.getChildElements(env.createName("DigestValue",
"ns3","http://www.w3.org/2000/11/temp-xmlenc"));
    if(it3.hasNext())
    value=((SOAPElement)it3.next()).getValue();//获得加密的值   
   }  
    //把加密的SOAPMessage解密成目标服务可以调用的SOAP消息。
    SOAPMessage   msg2=convertMessage(msg,this.decrypte(value));
    msgContext.setMessage(msg2);       
      }
      catch(Exception e)
      {
       e.printStackTrace();
      }     
}
//这个方法是把加密的数据进行解密,返回明文。
public String decrypte(String value)
{
  String data=null;
  try
  {
   ByteArrayInputStream fis = new
ByteArrayInputStream(new sun.misc.BASE64Decoder().decodeBuffer(value));
   ObjectInputStream ois = new ObjectInputStream(fis);
   Object o = ois.readObject();
   if (!(o instanceof String)) {
    System.out.println("Unexpected data in string");
    System.exit(-1);
   }
   data = (String) o;
   System.out.println("解密后的值:" + data);
   o = ois.readObject();
   if (!(o instanceof byte[])) {
    System.out.println("Unexpected data in string");
    System.exit(-1);
   }  
   byte origDigest[] = (byte []) o;
   MessageDigest md = MessageDigest.getInstance("SHA");
   md.update(data.getBytes());
  }
         …
  return data;
  }
    //把解密后的信息重新组装成服务端能够使用的SOAP消息。
public SOAPMessage convertMessage(SOAPMessage msg,String data)
{   
   ….
}
}
可以看出,服务端解密的Handler和客户端加密的Handler的操作是相反的过程。
回页首
总结

通过以上的讨论,相信大家已经掌握了Handler的基本使用技巧。可以看出,通过使用Handler,可以给Web服务提供一些额外的功能。在实际的开发中,我们可以开发出一些通用的Handler,然后通过不同的搭配方式把它们部署到不同的Web服务中。
另外,在XML & Web services专区还有一篇关于使用Handler来为Web服务提供缓存功能的文章,您可以参考它, 《用高速缓存加速您的 Web 服务》
分享到:
评论

相关推荐

    web service 教程,pdf 讲义

    #### 六、JAX-RPC 基于 Web Service 的开发 - **步骤**: 1. **定义服务接口**:使用 WSDL 文件描述服务接口。 2. **实现服务端点**:通过 Servlet 或无状态会话 Bean 实现服务端点。 3. **部署服务**:将服务...

    使用XFire+Spring构建Web Service

    【使用XFire+Spring构建Web Service】是一种在Java平台上开发Web服务的高效方法。XFire作为新一代的Web服务框架,与Axis2并列,因其简洁的API和对Web服务标准的良好支持而受到开发者欢迎。XFire特别强调与Spring框架...

    j2ee学习要掌握的知识

    J2EE(Java 2 Platform, Enterprise Edition)是Java平台上的企业级开发标准,它提供了一整套服务来构建分布式、多层的企业级应用。学习J2EE,你需要掌握以下几个核心知识点: 1. JSP(JavaServer Pages):JSP是...

    J2EE 高级 试题

    3. **Web服务开发**:提供标准化的服务接口。 #### 十四、Servlet的作用 1. **处理HTTP请求**:通过`doGet`和`doPost`方法实现。 2. **生成动态内容**:基于用户请求动态生成HTML或其他格式的内容。 #### 十五、...

    J2EE设计模式API

    J2EE(Java Platform, Enterprise Edition)平台为开发分布式、多层的企业应用提供了丰富的组件和服务。在J2EE设计模式中,我们通常会遇到以下关键模式: 1. **单例模式(Singleton)**: 保证一个类只有一个实例,...

    j2ee api

    这个平台包含了多种API和服务,为开发者提供了丰富的工具集,以实现诸如数据库连接、安全、事务处理、Web服务等功能。J2EE API是Java EE的核心组成部分,对于开发J2EE应用来说至关重要。以下是一些关键的J2EE API...

    j2ee编程技术源代码

    **Servlet**是Java服务器端的一种轻量级应用程序接口,它扩展了Web服务器的功能,使得开发者可以创建动态、交互式的Web应用。Servlet通过处理HTTP请求并生成响应来工作,是J2EE中的基础部分。在源代码中,你可以找到...

    J2EE设计模式学习参考

    **MVC设计模式**(Model-View-Controller)是J2EE开发中常见的模式之一,主要用于分离业务逻辑、用户界面和数据管理。模型(Model)负责存储和管理应用数据,视图(View)呈现数据给用户,而控制器(Controller)则...

    XFire开发webservice服务和客户端全攻略.docx

    【XFire开发Web Service服务和客户端全攻略】 XFire是一个高度活跃且受欢迎的Web Service框架,与Axis2并列为新一代的Web Service实现。它提供了一套简洁的API,支持Web Service的各种标准协议,如JSR181、WSDL2.0...

    通向架构师的道路(第十三天)Axis2 Web Service安全初步.docx

    1. 使用J2EE Web应用默认的访问控制(数据是明文的) 2. 使用axis的Handler进行访问控制(数据是明文的) 3. 使用Servlet过滤器(Filter)进行访问控制(数据是明文的) 4. 使用SSL/HTTPS协议来传输(加密的数据传输...

    XFire+Spring webwervice

    XFire的工作流程是通过一系列管道阶段处理SOAP请求和响应,允许在每个阶段添加自定义Handler以增强消息处理。 在开发环境中,通常需要JDK 1.5版本、Tomcat 5.5.20作为应用服务器,以及MyEclipse 5.1.1 GA作为IDE。...

    Axis的安全访问机制

    开发者可以根据实际需求自定义Handler来增强Web服务的安全性和功能性。同时,Axis也提供了一些预置的Handler,便于快速实现常见的功能。对于那些需要处理复杂逻辑的应用程序来说,灵活运用Handler可以极大地提高系统...

    高级软件工程.pptx

    在Java 2企业版(J2EE)环境中,Web服务可以通过各种框架和工具如Apache Axis来实现。J2EE提供了支持Web服务的基础设施,包括服务器端和客户端的句柄链处理架构,使得开发者能够方便地构建和消费Web服务。 **六、...

    本地提供XML数据 MyEclipse Java Web部分

    在开发Java Web应用程序时,本地XML数据的使用是常见的数据存储和交换方式。XML(Extensible Markup Language)是一种可扩展的标记语言,用于存储和传输结构化数据。本主题将深入探讨如何在MyEclipse环境下,利用...

    非阻塞式服务器Web.Java.zip

    Web.Java使用正则表达式来配置URL,这样做可以提供足够强大和灵活的URL模式。比如像用“/Article/23”想获取文章的ID可以这样来配置URL HttpServer.setPATH("/Article/(\\d )",new ArticleHandler());  //...

Global site tag (gtag.js) - Google Analytics