- 浏览: 1341118 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (896)
- spring4 (14)
- hibernate3 (26)
- spring2 (35)
- struts2 (55)
- struts1 (15)
- 设计模式 (15)
- java (172)
- mybatis3 (11)
- sql (17)
- mysql (13)
- jbpm (10)
- J2EE (45)
- tools (29)
- js (83)
- 数据结构 (13)
- Html (26)
- web (22)
- flex (33)
- Oracle (57)
- linux (49)
- 算法 (6)
- 其它 (12)
- easyui (1)
- bootstrap (13)
- xml (2)
- tomcat (1)
- redis (10)
- activemq (2)
- webservice (11)
- maven (2)
- springboot (1)
- ubuntu (1)
- python (14)
- rocketmq (1)
- springcloud (10)
- opencv (1)
最新评论
-
mike_eclipse:
Hashtable是线程不安全的吗?好像是线程安全的吧?
多线程之集合类 -
July01:
推荐用StratoIO打印控件,浏览器和系统的兼容性都很好,而 ...
lodop打印控件 -
xingcxb:
经过测试,假的,依旧会出现中文乱码!!!!store方法里面采 ...
java 读写Properties文件,不会出现中文乱码 -
tiger20111989:
...
Spring注解方式管理事务 -
zw7534313:
...
js 文字上下滚动 无间断循环显示
1.http://www.ibm.com/developerworks/cn/edu/j-dw-java-cxf.html CXF简介
2.http://www.ibm.com/developerworks/cn/webservices/ws-secure/ ws-security
3.http://wiki.springside.org.cn/display/calvin/CXF?decorator=printable 入门
4.http://blog.sina.com.cn/s/blog_5443f53b0100053e.html 用户名/密码验证
WS-Security 提供了无限多种方法来验证用户。规范中说明了其中的三种方法:
1、用户名/密码
2、通过 X.509 证书的 PKI
3、Kerberos
1.用户名/密码
用于传递调用方凭据的最常见方法之一是使用用户名和密码。这是一项用于 HTTP 基本身份验证和简要身份验证的技术。实际上,如果您熟悉 HTTP 简要身份验证的工作原理,就可以灵活地运用这一身份验证机制。
为了以此方式传递用户凭据,WS-Security 定义了 UsernameToken 元素。
<wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>
以上是以纯文本格式发送的密码示例。该解决方案看上去很容易遭到破坏。如果希望以更安全的方式发送密码,可以发送它的简要散列。
<wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordDigest">
KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
<wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
<wsu:Created xmlns:wsu=
"http://schemas.xmlsoap.org/ws/2002/07/utility">
2002-08-19T00:44:02Z
</wsu:Created>
</wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsse:Password Type="wsse:PasswordDigest">
KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
<wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
<wsu:Created xmlns:wsu=
"http://schemas.xmlsoap.org/ws/2002/07/utility">
2002-08-19T00:44:02Z
</wsu:Created>
</wsse:UsernameToken>
使用 SHA1 散列会使密码变得不易识别,因而可以增加安全性。密码简要散列是随机内容、创建时间与密码的组合。随机内容的长度是 16 字节,以 base64 编码值的形式传递。其工作原理是客户端使用所有这些信息加上密码来创建密码散列。接收方通过获取其中的密码并再次创建散列来验证此数据。如果结果一致,则表明密码正确。但这种保护方式不能防范重复攻击。如果使用这种保护方式,请确保包括一个 wsu:Timestamp 标头,其中包含一个足够小的时间窗口,用以提供创建时间值和过期时间值。然后,对消息中的 wsu:Timestamp 元素进行签名,以便可以检测到对时间戳的任何篡改。否则,攻击者可能使用完整的 UsernameToken 攻击您的 Web 服务。为防范重复攻击,您还需要包含一个机制,用于跟踪传入消息的某个唯一特性。这种机制需要将此特性保存到缓存中,并且至少持续到消息超时。
4.运行服务端和客户端日志的解释:
2010-7-9 8:58:48 org.apache.cxf.interceptor.LoggingOutInterceptor$LoggingCallback onClose
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope> <soap:Envelope>
--------------------------------------
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope> <soap:Envelope>
--------------------------------------
Inbound Message 输出的是服务器端接收到的SOAP信息
Outbound Message 输出的服务器端响应的SOAP信息
Headers: 它前面是SOAP消息的标识、编码方式、MIME类型,{}是消息报头
Payload: SOAP消息的真正内容,如果你的某些注解的header=true,那么它将被放到<soap:Header>中传输,而不是SOAP消息正文。
UTPasswordCallback.java:
你会发现Digest密文密码情况下,UTPasswordCallback的password属性((WSPasswordCallback)callbacks[i].getPassword())为null,你能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询密码,然后再设置到password属性,WSS4J会自动比较客户端传来的值和你设置的这个值。你可能会问为什么这里CXF不把客户端提交的密码传入让我们在ServerPasswordCallbackHandler中比较呢?如果我们要在回调方法中作比较,那么第一步要做的就是把服务端准备好的密码加密为Md5字符串,由于Md5算法参数不同结果也会有差别,另外,这样的工作CXF替我们完成不是更简单吗?
发表评论
-
Socket网络编程QQ程序代码-异步通信
2016-07-08 21:59 580TCP通信 -
外部接口调用 使用spring4+hessian4实例
2015-08-16 19:01 578spring4+hessian4 -
JMS 中间件:activeMQ, JMS 入门
2011-06-07 16:00 1461JMS入门,使用activeMQ 发送,接收消息。首先,下载 ... -
MyEclipse6.5安装SVN插件
2011-05-14 11:37 2021一、安装方法: 方法 ... -
WebService
2010-07-15 09:28 1153开发Web Service的两种方法: 创建WSDL文 ... -
JAXB WebService数据映射
2010-07-13 15:39 2253作用是 java对象 <---> xml文件 ... -
GlassFish安装和使用
2010-07-05 15:54 1403一、下载GlassFish https://glassfi ... -
Apache HTTP Server 与 Tomcat 的三种连接方式
2010-06-18 08:43 1101http://www.ibm.com/developerwor ... -
使用 CAS 在 Tomcat 中实现单点登录
2010-06-01 15:45 1035http://www.blogjava.net/xcp/arc ... -
Acegi
2010-04-19 13:32 1193Acegi是Spring Framework 下最成熟的安全 ... -
单点登陆(SSO)
2010-04-19 13:05 1174WEB-SSO的实现 用户在访问页面1的时候进行了登录,但是 ... -
截取soap报文 (xfire)
2010-03-02 08:57 2308http://blog.sina.com.cn/s/blog ... -
spring2.5+xfire+ws-security
2010-03-01 09:43 2281public static void main(String ... -
Xfire
2010-02-23 17:51 1518http://blog.csdn.net/czmchen/a ... -
Spring Web Services
2010-02-08 12:57 1724http://www.infoq.com/cn/articl ... -
EJB
2010-02-03 15:18 1033http://littlecoder.blog.163.com ... -
jar包查询网站
2009-12-30 09:07 1166http://jarvana.com/jarvana/ -
jasperreport + spring 常见问题
2009-11-06 15:42 1579http://firstpioneer.iteye.com/ ... -
jsp 常用问题
2009-10-30 09:27 1234注意点: 1. 本系统页 ... -
servlet和jsp的多线程问题
2009-10-10 14:06 776http://wanjianfei.iteye.com/blo ...
相关推荐
Apache CXF是一个开源的Java框架,它主要用于构建和开发服务导向架构(SOA)中的Web服务。这个"apache cxf_jar包"包含了实现基于Java的Web服务所需的一系列核心库。下面我们将深入探讨这些jar文件及其在Web服务实现...
Apache CXF 框架是一个比较有前途的开源 Web Services 框架,也是构建 SOA 架构应用的利器。本书采用案例源码和解说形式全面介绍 Apache CXF 框架的功能。 本书共 15 章,大致分为三个部分。第一部分介绍关于 SOA 和...
Apache CXF是一个开源的Java框架,专门用于构建和部署Web服务。它提供了全面的工具和技术,使得开发人员能够轻松地创建、实现和部署基于SOAP(简单对象访问协议)和RESTful(表述性状态转移)风格的服务。这两本书籍...
Apache CXF是一个开源框架,主要用于构建和开发Web服务。它提供了强大的工具和支持,使得开发者能够轻松地创建、部署和管理SOAP(Simple Object Access Protocol)和RESTful(Representational State Transfer)服务...
Apache CXF = Celtix + XFire,Apache CXF 的前身叫 Apache CeltiXfire,现在已经正式更名为 Apache CXF 了,以下简称为 CXF。CXF 继承了 Celtix 和 XFire 两大开源项目的精华,提供了对 JAX-WS 全面的支持,并且...
2013版的 <基于Apache CXF构建SOA应用> 源码 Apache CXF是一个开放源码的Web服务框架,提供了一个易于使用,用于开发Web Services标准为基础的编程模型。本书主要介绍Apache CXF在构建SOA架构各个方面的应用说明和...
webserviceApache CXF java springboot利用Apache CXF创建webserice接口 Apache CXF 核心架构是以BUS为核心,整合其他组件。 * Bus是CXF的主干, 为共享资源提供一个可配置的场所,作用类似于Spring的...
### Apache CXF HelloWorld 示例详解 #### 一、Apache CXF简介与特点 Apache CXF(以下简称为CXF)是一款非常流行的开源项目,用于构建和服务Web Services。它整合了两个著名的开源项目:Apache Celtix 和 XFire。...
apache cxf 2.1.3 的用户手册
**实战Web Service与Apache CXF开发** Web服务是一种在互联网上进行通信的标准协议,它允许应用程序之间进行数据交换。Apache CXF是一个开源框架,用于构建和部署Web服务,支持多种Web服务标准,如SOAP、RESTful ...
Apache CXF是一个开源的Web服务框架,由Apache软件基金会开发并维护,专注于提供高质量的SOAP和RESTful服务。它的名称CXF来源于两个前身项目:XFire和Celtix的组合,这两个项目在2006年合并成为Apache CXF。Apache ...
Apache CXF 是一款广泛使用的开源框架,主要用于构建和部署高质量的Web服务。它以其灵活性、易用性和强大的功能集而闻名。"apache-cxf-3.5.0.zip" 文件包含了CXF框架的3.5.0版本,该版本可能包含了一些新特性、改进...
Apache CXF是一个开源的服务框架,它允许开发人员创建和消费Web服务。Spring框架则是一个广泛使用的Java企业级应用开发框架,提供了丰富的功能,包括依赖注入、面向切面编程以及容器管理。REST(Representational ...
Apache CXF 是一个开源的Java框架,主要用于构建和开发Web服务。它是一个强大的、全面的Web服务实现,支持多种协议和服务样式,包括SOAP、RESTful、JAX-RS等。CXF的名字来源于“CXF = XFire + XWS”,XFire是早期的...
### Apache CXF 教程详解 #### 一、Apache CXF 概述 Apache CXF 是一款开源的服务框架,主要用于简化服务的创建和消费过程。它支持多种协议和技术栈,如SOAP、REST、XML-RPC等,使得开发人员能够轻松地创建面向...