`
security
  • 浏览: 380970 次
  • 来自: www.pgp.org.cn
社区版块
存档分类
最新评论

在SpringSide实现XFire Webservice认证

阅读更多
XFire官方网站提供的基于Webservice认证的例子有问题,在新版本的XFire1.1.2中编译不通过,不过这也是小Case,我后来折腾了一下,为SpringSide提供了一个简单的Webservice认证功能。
XFire跟Spring的天然融合,让我们可以少努力10年就能简单地在Spring中使用Webservice的强大魅力,我从AXIS专向XFire有一些冲动,也吃了不少亏,但受REST一族的强力吹捧,感觉还是值得尝试的,因此,在公司的系统中也把Axis彻底换了XFire。

回到SpringSide,我大概介绍一下如何配置一个真正实用的XFire验证服务。
SpringSide中的XFire配置文件放在:
SpringSide-bookstore\src\org\springside\bookstore\plugins\webservice\applicationContext-webservice-server.xml
我们在里面定义各个Webservice,该文件其实对应于XFire官方的XFire-Servlet.xml
看看下面的BookService,这是一个典型的Webservice服务,红色的inHandlers是我挂上去的。它的意思是所有访问BookService的请求都会被先送到authenticationHandler去处理,我们的验证逻辑可以在里面进行。
    <!--Web Service 在SpringMVC中的URL 路径映射-->
    <bean class="org.springframework.web.servlet.handler.SimpleUrlHandlerMapping">
        <property name="mappings">
            <value>/BookService=bookWebService</value>
        </property>
        <property name="inHandlers">
            <ref bean="authenticationHandler"/>
        </property>
    </bean>

我们接着看看authenticationHandler的代码:
我们在SpringSide中通过header方式向服务器提供验证信息(另外一种更简单的方式是创建一个Login的webservice服务,然后在XFire Session中建立Token信息)。
package org.springside.bookstore.plugins.webservice.authentication;

import org.apache.log4j.Logger;
import org.codehaus.xfire.MessageContext;
import org.codehaus.xfire.exchange.InMessage;
import org.codehaus.xfire.fault.XFireFault;
import org.codehaus.xfire.handler.AbstractHandler;
import org.jdom.Element;
import org.jdom.Namespace;


/**
 * XFire的回调的Handler,在XFire配置文件中配置
 * Server端的认证模块,回调处理模块
 * 
 * ClientAuthHandler跟AuthenticationHandler要一起用,或者都不用
 * 
 * 
@author  david.turing
 * @blog  openssl.blogjava.net
 *
 
*/
public class AuthenticationHandler extends AbstractHandler {
    
private static final Logger log = Logger.getLogger(AuthenticationHandler.class);
    
    
public void invoke(MessageContext context) throws Exception {
        
        log.info(
"#AuthenticationHandler is invoked");
        InMessage message
=context.getInMessage();
        
        
final Namespace TOKEN_NS = Namespace.getNamespace("SpringSide","http://service.webservice.plugins.bookstore.springside.org");  
        
        
if(message.getHeader()==null)
        {
            
throw new XFireFault("GetRelation Service Should be Authenticated",
                    XFireFault.SENDER);
        }
        
        Element token 
= message.getHeader().getChild("AuthenticationToken", TOKEN_NS);
        
if (token == null)
        {
            
throw new XFireFault("Request must include authentication token.",
                                 XFireFault.SENDER);
        }

        String username 
= token.getChild("Username", TOKEN_NS).getValue();
        String password 
= token.getChild("Password", TOKEN_NS).getValue();

        System.out.println(
"username="+username);        
        System.out.println(
"password="+password);
        
        
if(username==null||password==null)
            
throw new XFireFault("Supplied Username and Password Please",
                    XFireFault.SENDER);
        
        
/**
         * 检查用户名密码是否正确
         
*/
        PasswordAuthenticationManager pamanager
=new PasswordAuthenticationManager();
        
if(!pamanager.authenticate(username,password))
            
throw new XFireFault("Authentication Fail! Check username/password",
                    XFireFault.SENDER);
 
        
    }
}
注意,XFireFault异常是往客户端抛的,Webservice Client应该学会catch XFireFault.

服务器端就是这么简单,看看客户端的TestCase
package org.springside.bookstore.plugins.webservice.service;

import java.lang.reflect.Proxy;
import java.net.MalformedURLException;
import java.util.List;

import org.codehaus.xfire.client.Client;
import org.codehaus.xfire.client.XFireProxy;
import org.codehaus.xfire.client.XFireProxyFactory;
import org.codehaus.xfire.service.Service;
import org.codehaus.xfire.service.binding.ObjectServiceFactory;
import org.springside.bookstore.commons.domain.Book;
import org.springside.bookstore.plugins.webservice.authentication.ClientAuthHandler;

import junit.framework.TestCase;

public class BookServiceWithAuthenticationTestCase extends TestCase {

    
protected void setUp() throws Exception {
        
super.setUp();
    }

    
protected void tearDown() throws Exception {
        
super.tearDown();
    }
    
    
public void getBookFromWebservice() throws Exception{
    
          Service serviceModel 
= new ObjectServiceFactory()
                .create(BookService.
class);
        BookService service 
= null;
        
        
try {
            service
=(BookService) new XFireProxyFactory().create(
                    serviceModel,
                    
"http://localhost:8080/springside/service/BookService");
        } 
catch (MalformedURLException e) {
            e.printStackTrace();
        }
        
        Client client 
= ((XFireProxy) Proxy.getInvocationHandler(service)).getClient();
        
//挂上ClientAuthHandler,提供认证
        client.addOutHandler(new ClientAuthHandler());
        List list 
= service.findBooksByCategory(null);
        assertNotNull(list);
        
for(int i=0;i<list.size();i++)
            System.out.println(((Book)list.get(i)).getName());
    }

}

你应该看到上面的client.addOutHandler(new ClientAuthHandler());
没错,它跟服务器端的AuthenticationHandler是一对,一起使用的!
也就是,每个被送往WebService服务的请求都被ClientAuthHandler处理过了。
看看ClientAuthHandler做了些什么:
package org.springside.bookstore.plugins.webservice.authentication;

import org.apache.log4j.Logger;
import org.codehaus.xfire.MessageContext;
import org.codehaus.xfire.handler.AbstractHandler;
import org.jdom.Element;
import org.jdom.Namespace;

/**
 * 客户端端的认证模块,回调处理模块
 * 每个需要认证的WebService方法都可以挂这个Handler
 * 
 * 仅用于Demo,从解耦和易用性出发,
 * 没有跟Acegi结合,你可以任意扩展
 * 默认用户名/密码是admin/admin
 * 
 * ClientAuthHandler跟AuthenticationHandler要一起用,或者都不用
 * 
 * 
@author  david.turing
 *
 * @blog openssl.blogjava.net
 
*/    
public class ClientAuthHandler extends AbstractHandler {
        
private static final Logger log = Logger.getLogger(ClientAuthHandler.class);
        
        
//客户端自己配置用户名密码或者更安全的KeyStore方式
        private String username = "admin";
        
private String password = "admin";
        
        
public ClientAuthHandler() {
        }
        
        
public ClientAuthHandler(String username,String password) {
            
this.username = username;
            
this.password = password;
        }
        
        
public void setUsername(String username) {
            
this.username = username;
        }
        
        
public void setPassword(String password) {
            
this.password = password;
        }
        
        
public void invoke(MessageContext context) throws Exception {
                        
            
/*******************************************
             * Soap Header方式
             * 从Soap Header中获取用户名密码
             ******************************************
*/
            
final Namespace ns = Namespace.getNamespace("SpringSide","http://service.webservice.plugins.bookstore.springside.org");  
            Element el 
= new Element("header",ns);

            Element auth 
= new Element("AuthenticationToken", ns);
            Element username_el 
= new Element("Username",ns);
            username_el.addContent(username);
            Element password_el 
= new Element("Password",ns);
            password_el.addContent(password);
            auth.addContent(username_el);
            auth.addContent(password_el);
            el.addContent(auth);            
            context.getCurrentMessage().setHeader(el);            
            log.info(
"ClientAuthHandler done!");
        }
    }

不就是往header里面注入username,password!

在SpringSide中,所有的Spring配置文件都被小白分散到各个Module中去了,Wuyu原先是在Plugin中提供Webservice功能,因此,我仍然在Plugin中创建XFire接口。
SpringSide的Spring配置文件放在:
SpringSide-bookstore\webapp\WEB-INF\springmvc-servlet.xml
该文件定义了Plugin的xml:
AuthenticationHandler这个Bean需要先定义在Plugins-servlet.xml中,其它很简单,大家去Try一下就知道了。
分享到:
评论
1 楼 micropang 2009-08-20  
怎么都是这些,都没有C# 作为客户端的,那要怎么注入法?!!~~~~~

相关推荐

    WebService资料文件下载

    而"在SpringSide实现XFire Webservice认证.pdf"可能涉及了如何在Spring框架中集成XFire,实现WebService的安全认证。 5. **安全与WSSecurity**:"XFire+WSSecurity.pdf"可能涵盖了WebService的安全性,特别是...

    SpringSide4 参考手册

    在介绍了常规模块之后,文档还专门提供了一节关于加密技术的章节,包括消息摘要和加密方法,以及如何在SpringSide中使用Crypto组件。 SpringSide还包含了一个定时任务的调度器,支持在Spring应用中进行定时任务的...

    springside-3.2.2源码

    3. Spring Security:负责权限控制,配置 SecurityFilterChain 来拦截请求,实现用户认证和授权。 三、代码组织与设计模式 1. 单元测试:SpringSide 强调测试驱动开发,每个模块都有相应的单元测试,使用了 JUnit ...

    Springside-core-4.1.0/Springside-core-4.1.0

    本文将深入探讨SpringSide-core-4.1.0的核心特性,以及其在实际项目中的应用。 一、SpringSide概述 SpringSide是一款为Java开发者设计的开源工具集,它提供了大量的最佳实践和示例代码,帮助开发者快速上手Spring...

    springside开发全面讲解

    7. **安全控制**:springside内置了Spring Security模块,用于实现权限控制、认证和授权,保障了系统的安全性。 8. **持续集成**:与Jenkins、Git等工具集成,springside支持持续集成和版本控制,方便团队协作。 9...

    springside框架

    通过集成Spring Security或Apache Shiro等安全框架,SpringSide可以实现细粒度的权限控制,确保系统在不同用户、不同场景下的安全性。 五、SpringSide的项目结构与实践 SpringSide项目通常采用模块化设计,包括...

    SpringSide3.3.4安装部署

    SpringSide3.3.4 安装部署是指在计算机上安装和部署 SpringSide3.3.4 软件的过程。在这个过程中,我们需要使用 Maven 工具来生成项目模板,安装 mini-web 应用程序,并配置相应的依赖项。下面我们将详细介绍 ...

    springside

    在实际应用中,SpringSide可以应用于各种场景,如开发企业级的Web应用、构建微服务、实现数据访问层的自动化等。通过熟练掌握SpringSide,开发者不仅可以提高开发效率,还能确保项目具有良好的可维护性和扩展性。 ...

    springside3.0.zip

    4. **Quartz调度器**:SpringSide 3.0 包含了Quartz库,用于实现任务调度功能。开发者可以通过Quartz创建、安排和执行定时任务,提升应用的自动化水平。 5. **Web MVC模式**:Spring MVC是Spring框架的一部分,提供...

    springside4(showcase)

    在IT领域,SpringSide 4是一个备受推崇的开源项目,它是一个全面展示Spring框架及其生态系统的实战示例。标题"Springside4 (showcase)"暗示了这是一个以展示SpringSide 4核心特性和功能为主的应用实例,而"描述"中的...

    有springside4.2.3-GA.jar 包

    在Java开发领域,SpringSide框架以其高效、灵活和强大的特性深受开发者喜爱。本文将围绕springside4.2.3-GA.jar这个核心组件,探讨其在Java应用中的重要作用以及如何利用它提升开发效率。 首先,我们需要理解什么是...

    springside3.3.4 使用方法

    在本文档中,我们将详细介绍如何使用Springside 3.3.4版本,并特别关注SSH(Spring + Struts + Hibernate)整合的方法。 #### 二、环境配置与准备 1. **安装Java JDK**: - 首先确保已经安装了Java环境,并且设置...

    springside的jar包

    6. **安全控制**:Springside提供了基于Spring Security的安全控制模块,可以快速实现用户认证与授权功能,增强了应用的安全性。 7. **日志管理**:集成了Logback作为日志系统,提供了灵活的日志级别控制和输出格式...

    springside-4.0.0.GA.zip

    SpringSide将Spring的核心功能如依赖注入、AOP(面向切面编程)、事务管理、数据访问等进行了封装和优化,使得开发者可以更加专注于业务逻辑,而非底层实现细节。 在“springside-4.0.0.GA”压缩包中,我们可以期待...

    springside.jar

    《springside.jar在Java应用中的使用详解》 在Java开发领域,springside.jar是一个备受推崇的开源项目,它为开发者提供了丰富的工具和最佳实践,以简化Spring框架的使用。本文将深入探讨springside.jar的核心功能,...

    SpringSide安全框架demo实例

    在SpringSide安全框架中,认证通常通过实现UserDetailsService接口来完成。你可以自定义一个服务类,重写loadUserByUsername方法,将用户名与数据库中的用户信息进行匹配。这样,当用户尝试登录时,Spring Security...

    springside-core-4.2.2.GA(含关联的test.jar)

    pom.xml配置 ...mvn install:install-file -DgroupId=org.springside -DartifactId=springside-core -Dversion=4.2.2.GA -Dfile=./springside-core-4.2.2.GA.jar -Dpackaging=jar -DgeneratePom=true

    springside3.3完整版

    本版本,即“springside3.3”,是专为MyEclipse集成环境设计的,包含了完整的功能代码,方便开发者在MyEclipse中进行开发和调试。同时,它还附带了数据.sql文件,意味着我们可以直接导入数据库,快速搭建项目环境。 ...

    springside4-4.2.3.GA

    SpringSide项目,作为一个开源的Java开发框架,是许多开发者在进行企业级应用开发时的首选工具。其中,4.2.3.GA版本更是备受关注,因为它不仅集成了最新的技术栈,还提供了一系列完善的开发示例,帮助开发者快速上手...

    springside3文档资料收录

    在SpringSide3中,你会了解到如何通过XML配置或注解方式实现依赖注入,以及如何使用ApplicationContext管理bean。 三、面向切面编程 AOP允许开发者将关注点分离,如日志、事务等,从而提高代码的可读性和可维护性。...

Global site tag (gtag.js) - Google Analytics