`

Apache CXF

    博客分类:
  • J2EE
阅读更多

1.http://www.ibm.com/developerworks/cn/edu/j-dw-java-cxf.html   CXF简介

 

2.http://www.ibm.com/developerworks/cn/webservices/ws-secure/  ws-security

 

3.http://wiki.springside.org.cn/display/calvin/CXF?decorator=printable   入门

 

 

4.http://blog.sina.com.cn/s/blog_5443f53b0100053e.html     用户名/密码验证

 

WS-Security 提供了无限多种方法来验证用户。规范中说明了其中的三种方法:

    1、用户名/密码
    2、通过 X.509 证书的 PKI
    3、Kerberos

1.用户名/密码

用于传递调用方凭据的最常见方法之一是使用用户名和密码。这是一项用于 HTTP 基本身份验证和简要身份验证的技术。实际上,如果您熟悉 HTTP 简要身份验证的工作原理,就可以灵活地运用这一身份验证机制。

    为了以此方式传递用户凭据,WS-Security 定义了 UsernameToken 元素。
<wsse:UsernameToken>
    <wsse:Username>scott</wsse:Username>
    <wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>
    以上是以纯文本格式发送的密码示例。该解决方案看上去很容易遭到破坏。如果希望以更安全的方式发送密码,可以发送它的简要散列。
<wsse:UsernameToken>
    <wsse:Username>scott</wsse:Username>
    <wsse:Password Type="wsse:PasswordDigest">
        KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
    <wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
    <wsu:Created xmlns:wsu=
        "http://schemas.xmlsoap.org/ws/2002/07/utility">
            2002-08-19T00:44:02Z
    </wsu:Created>
</wsse:UsernameToken>
    使用 SHA1 散列会使密码变得不易识别,因而可以增加安全性。密码简要散列是随机内容、创建时间与密码的组合。随机内容的长度是 16 字节,以 base64 编码值的形式传递。其工作原理是客户端使用所有这些信息加上密码来创建密码散列。接收方通过获取其中的密码并再次创建散列来验证此数据。如果结果一致,则表明密码正确。但这种保护方式不能防范重复攻击。如果使用这种保护方式,请确保包括一个 wsu:Timestamp 标头,其中包含一个足够小的时间窗口,用以提供创建时间值和过期时间值。然后,对消息中的 wsu:Timestamp 元素进行签名,以便可以检测到对时间戳的任何篡改。否则,攻击者可能使用完整的 UsernameToken 攻击您的 Web 服务。为防范重复攻击,您还需要包含一个机制,用于跟踪传入消息的某个唯一特性。这种机制需要将此特性保存到缓存中,并且至少持续到消息超时。
4.运行服务端和客户端日志的解释:
2010-7-9 8:58:48 org.apache.cxf.interceptor.LoggingOutInterceptor$LoggingCallback onClose
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope>  <soap:Envelope>
--------------------------------------
Inbound Message 输出的是服务器端接收到的SOAP信息
Outbound Message 输出的服务器端响应的SOAP信息
Headers: 它前面是SOAP消息的标识、编码方式、MIME类型,{}是消息报头
Payload: SOAP消息的真正内容,如果你的某些注解的header=true,那么它将被放到<soap:Header>中传输,而不是SOAP消息正文。
UTPasswordCallback.java:
你会发现Digest密文密码情况下,UTPasswordCallback的password属性((WSPasswordCallback)callbacks[i].getPassword())为null,你能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询密码,然后再设置到password属性,WSS4J会自动比较客户端传来的值和你设置的这个值。你可能会问为什么这里CXF不把客户端提交的密码传入让我们在ServerPasswordCallbackHandler中比较呢?如果我们要在回调方法中作比较,那么第一步要做的就是把服务端准备好的密码加密为Md5字符串,由于Md5算法参数不同结果也会有差别,另外,这样的工作CXF替我们完成不是更简单吗?
分享到:
评论
2 楼 www5177 2012-07-24  
1 楼 576604498 2011-05-20  
好文章,解决了,我的问题,谢谢lz

相关推荐

    apache cxf_jar包

    Apache CXF是一个开源的Java框架,它主要用于构建和开发服务导向架构(SOA)中的Web服务。这个"apache cxf_jar包"包含了实现基于Java的Web服务所需的一系列核心库。下面我们将深入探讨这些jar文件及其在Web服务实现...

    基于Apache CXF构建SOA应用

    Apache CXF 框架是一个比较有前途的开源 Web Services 框架,也是构建 SOA 架构应用的利器。本书采用案例源码和解说形式全面介绍 Apache CXF 框架的功能。 本书共 15 章,大致分为三个部分。第一部分介绍关于 SOA 和...

    两本关于apache cxf的书籍,英文

    Apache CXF是一个开源的Java框架,专门用于构建和部署Web服务。它提供了全面的工具和技术,使得开发人员能够轻松地创建、实现和部署基于SOAP(简单对象访问协议)和RESTful(表述性状态转移)风格的服务。这两本书籍...

    Apache CXF Web Service Development(源码)

    Apache CXF是一个开源框架,主要用于构建和开发Web服务。它提供了强大的工具和支持,使得开发者能够轻松地创建、部署和管理SOAP(Simple Object Access Protocol)和RESTful(Representational State Transfer)服务...

    Developing Web Services with Apache CXF and Axis2(3rd Edition).zip

    Apache CXF = Celtix + XFire,Apache CXF 的前身叫 Apache CeltiXfire,现在已经正式更名为 Apache CXF 了,以下简称为 CXF。CXF 继承了 Celtix 和 XFire 两大开源项目的精华,提供了对 JAX-WS 全面的支持,并且...

    基于Apache CXF构建SOA应用 随书源代码

    2013版的 &lt;基于Apache CXF构建SOA应用&gt; 源码 Apache CXF是一个开放源码的Web服务框架,提供了一个易于使用,用于开发Web Services标准为基础的编程模型。本书主要介绍Apache CXF在构建SOA架构各个方面的应用说明和...

    WebServiceConfig java springboot利用Apache CXF创建webserice接口配置类

    webserviceApache CXF java springboot利用Apache CXF创建webserice接口 Apache CXF 核心架构是以BUS为核心,整合其他组件。 * Bus是CXF的主干, 为共享资源提供一个可配置的场所,作用类似于Spring的...

    apache cxf 一个helloworld的例子

    ### Apache CXF HelloWorld 示例详解 #### 一、Apache CXF简介与特点 Apache CXF(以下简称为CXF)是一款非常流行的开源项目,用于构建和服务Web Services。它整合了两个著名的开源项目:Apache Celtix 和 XFire。...

    apache cxf 用户手册

    apache cxf 2.1.3 的用户手册

    实战Web Service —— 使用Apache CXF开发Web服务的教程

    **实战Web Service与Apache CXF开发** Web服务是一种在互联网上进行通信的标准协议,它允许应用程序之间进行数据交换。Apache CXF是一个开源框架,用于构建和部署Web服务,支持多种Web服务标准,如SOAP、RESTful ...

    apache-cxf2.7.18官方版最稳定版本

    Apache CXF是一个开源的Web服务框架,由Apache软件基金会开发并维护,专注于提供高质量的SOAP和RESTful服务。它的名称CXF来源于两个前身项目:XFire和Celtix的组合,这两个项目在2006年合并成为Apache CXF。Apache ...

    apache-cxf-3.5.0.zip

    Apache CXF 是一款广泛使用的开源框架,主要用于构建和部署高质量的Web服务。它以其灵活性、易用性和强大的功能集而闻名。"apache-cxf-3.5.0.zip" 文件包含了CXF框架的3.5.0版本,该版本可能包含了一些新特性、改进...

    Apache CXF + Spring3 + REST + JSON配置

    Apache CXF是一个开源的服务框架,它允许开发人员创建和消费Web服务。Spring框架则是一个广泛使用的Java企业级应用开发框架,提供了丰富的功能,包括依赖注入、面向切面编程以及容器管理。REST(Representational ...

    Apache cxf

    Apache CXF 是一个开源的Java框架,主要用于构建和开发Web服务。它是一个强大的、全面的Web服务实现,支持多种协议和服务样式,包括SOAP、RESTful、JAX-RS等。CXF的名字来源于“CXF = XFire + XWS”,XFire是早期的...

    apache cxf 教程

    ### Apache CXF 教程详解 #### 一、Apache CXF 概述 Apache CXF 是一款开源的服务框架,主要用于简化服务的创建和消费过程。它支持多种协议和技术栈,如SOAP、REST、XML-RPC等,使得开发人员能够轻松地创建面向...

Global site tag (gtag.js) - Google Analytics