`
zhaoshijie
  • 浏览: 2265430 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Webservice实现WS-Security(XFire)

阅读更多
关键字:基于XFire实施WS-Security

说明:附件是带有截图的完整文章,很高兴分享给大家。

概述

Web Service是安全的吗?鉴于安全性涉及诸多方面(例如身份验证和授权、数据隐私和完整性等),而 SOAP 规范中根本没有提及安全性这一事实,所以我们不难理解人们为什么认为答案是

否定的。

很少有不需要某种形式的安全性保证的企业级系统。在 Web Service中,处理Web Service安全的过程比处理其他领域应用的安全问题更为复杂,因为Web Service具有分布式、无状态的特性。

WS-Security是解决Web Service安全问题的规范,大多数商业的Java EE应用服务器都实现了WS-Security规范,Apache WSS4J是WS-Security的开源实现,WSS4J通过SOAP中WS-Security相关的

信息对SOAP报文进行验证和签名,XFire通过WSS4J对WS-Security提供了支持。你可以从http://ws.apache.org/wss4j 了解更多关于WSS4J的信息。

认识WS-Security

2002 年 4 月,IBM、Microsoft 和 VeriSign 在他们的 Web 站点上提议建立 Web Services Security (WS-Security)规范。此规范包括安全凭证、XML签名和XML加密的安全性问题。此规范还

定义了用户名凭证和已编码的二进制安全性凭证的格式。

2002 年 6 月,OASIS 从 IBM、Microsoft 和 Verisign 接收到了提议的WS-Security安全性规范。不久之后就在 OASIS 成立了“Web Service 安全性技术委员会”(WSS TC)。

2006年2月15日,OASIS通过了WS-Security 1.1安全规范,1.1规范突出了对安全权标支持、消息附件和权限管理的增强。1.1规范包括WS-Security核心规范及用户名权标规范1.1、 X.509权标

规范1.1、Kerberos权标规范1.1、SAML权标规范1.1、权限表达(REL)权标规范1.1、带附件的SOAP(SWA)规范1.1和模式1.1。

也许读者会提出这样的问题:SSL也具有完整性和机密性,为什么还需要另外一个WS-Security规范呢?之所以要制定WS-Security规范,是SSL存在以下的问题:

端对端的通信,脱离传输层就无法保证安全性;
消息必须全部加密/或者全部签名,而不能针对消息的某部分,没有考虑XML处理。
SSL对应OSI的传输层,前面我们提到过Web Service是和传输层无关的,将安全问题依附在SSL上就违反了Web Serivce与传输层无关的原则。而WS-Security对应于OSI的应用层,建立消息层

SOAP之上。

针对不同领域的细分问题,OASIS 在WS-Security的基础上又制定了几十个规范,其中包括WS-SecureConversation、WS-Federation、 WS-Authorisation、WS-Policy、WS-Trust、WS-Privacy

等,形成了一个庞大Web Service安全性协议家族。



图1 WS-Security所在位置

有了WS-Security规范,用户就拥有在Web Service应用中实施完整性、机密性和身份验证等安全需求的规范方法。

XFire应用WS-Security的总体方案

XFire通过Apache的WSS4J对WS-Security提供支持,XFire完整发布包中包含了WSS4J的类包。我们知道XFire在发送和接收SOAP报文前拥有多个阶段,每个阶段都可以注册Handler,对SOAP报文

进行前置和后置处理的加工操作。XFire即通过 Handler实施WSS4J,当发送SOAP报文时,通过注册一系列OutHandler,对SOAP报文进行加密、签名、添加用户身份信息等后置处理操作。而在接

收SOAP报文时,则通过注册一系列的InHandler对SOAP进行解密、验证签名,用户身份认证等前置操作。



图2 XFire应用WS-Security的方案

请求和响应的SOAP在发送之前可以通过注册的OutHanlder进行加工处理,让SOAP转换为WS-Security的保护格式。而服务端和客户端的接收SOAP 报文之前,可以通过注册的InHandler,将WS-

Security格式的SOAP转换正常的SOAP进行处理。

由于XFire在SOAP收发过程中定义了多个不同的生命阶段,所以可以在发送前和接收前完成SOAP报文安全处理的工作,这些操作完全独立于业务处理逻辑,实施WS-Security对于Web Service的

业务操作是透明的。

使用WS-Security

在前面内容中,我们通过各种方式将BbtForum中的方法以BbtForumSerivice窄接口开放为Web Service服务,但个Web Service是没有任何安全性可言的,任何拿到WSDL的人都可以轻松地构造客

户端程序访问我们的Web Service服务。在这节里,我们将解决这个问题,对BbtForumSerivice添加不同的安全功能。

准备工作

在使用XFire的WS-Security之前,必须做一些准备性的工作:包括搭建安全环境,创建密钥对和证书等内容。

使用用户名/密码进行身份认证

对SOAP报文进行身份认证的方式很多,不过都是通过在SOAP报文头中添加一些安全凭证(Security Token)信息来完成的,主要包括以下一些身份凭证:

用户名/密码;
X.509 证书;
Kerberos 票据和认证者;
SIM 卡的移动设备安全性凭证。
其中用户名/密码是最简单的身份认证方式,它不需要密钥、数字证书,所以也就不需要CA,部署实施简单易行。下面我们就通过例子讲解如何进行基于用户名/密码的SOAP认证。这个实例让客

户端提供用户名/密码,服务端验证客户端的身份,而客户端按正常方式接收SOAP响应报文。

服务端
服务端创建一个applicationContext-ws-security.xml,让BbtForumService拥有用户名/密码的认证功能。

代码清单1 applicationContext-ws-security.xml:身份认证



Java代码
<beans>  
    <import resource="classpath:org/codehaus/xfire/spring/xfire.xml" />  
    <bean id="baseWebService" class="org.codehaus.xfire.spring.remoting.XFireExporter" 
        lazy-init="false" abstract="true">  
        <property name="serviceFactory" ref="xfire.serviceFactory" />  
        <property name="xfire" ref="xfire" />  
    </bean>  
    <bean parent="baseWebService">  
        <property name="serviceBean" ref="bbtForum" />  
        <property name="serviceClass" value="com.baobaotao.xfire.server.BbtForumService" />  
        <property name="name" value="BbtForumServiceUT" />①Web Service名称  
        <property name="inHandlers">  
            <list>  
                <ref bean="domInHandler" />②负责将STAX流模型的SOAP转换为DOM模型  
                <ref bean="wss4jInHandler" />③对用户名/密码进行检查  
            </list>  
        </property>  
    </bean>  
    <bean id="domInHandler" class="org.codehaus.xfire.util.dom.DOMInHandler" />  
    <bean id="wss4jInHandler" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">  
        <property name="properties">  
            <props>  
                <prop key="action">UsernameToken</prop>④指定认证类型  
                <prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.UtPasswordHandler</prop>⑤指定一个密码回调实现类  
            </props>  
        </property>  
    </bean>  
    <bean id="bbtForum" class="com.baobaotao.service.BbtForum" />  
</beans> 

<beans>
<import resource="classpath:org/codehaus/xfire/spring/xfire.xml" />
<bean id="baseWebService" class="org.codehaus.xfire.spring.remoting.XFireExporter"
lazy-init="false" abstract="true">
<property name="serviceFactory" ref="xfire.serviceFactory" />
<property name="xfire" ref="xfire" />
</bean>
<bean parent="baseWebService">
<property name="serviceBean" ref="bbtForum" />
<property name="serviceClass" value="com.baobaotao.xfire.server.BbtForumService" />
<property name="name" value="BbtForumServiceUT" />①Web Service名称
<property name="inHandlers">
<list>
<ref bean="domInHandler" />②负责将STAX流模型的SOAP转换为DOM模型
<ref bean="wss4jInHandler" />③对用户名/密码进行检查
</list>
</property>
</bean>
<bean id="domInHandler" class="org.codehaus.xfire.util.dom.DOMInHandler" />
<bean id="wss4jInHandler" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">
<property name="properties">
<props>
<prop key="action">UsernameToken</prop>④指定认证类型
<prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.UtPasswordHandler</prop>⑤指定一个密码回调实现类
</props>
</property>
</bean>
<bean id="bbtForum" class="com.baobaotao.service.BbtForum" />
</beans>

 
对SOAP报文体进行加密

虽然通过数字签名解决了完整性和不可抵赖性的安全问题,但报文体还是以明文的方式进行发送,在传输过程中,报文的内容有可能被监视,保密性得不到保证。

如果报文体中包含了一些敏感的内容,则发送者希望报文的内容能以加密的方式进行传输,防止窥视。通过对SOAP报文体进行加密,即可解决保密性的问题。

客户端使用服务端的公钥对请求SOAP报文进行加密,服务端公钥包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为server,访问服务端数字证书无须密码。服务端需要

使用私钥进行解密,服务端私钥包含在服务端的密钥对中,在serverStore.jks中服务端密钥对的别名为server,访问私钥的密码为serverpass。

在XFire中对SOAP报文体进行加密解密需要解决的主要就是注册相应的Handler,并为其提供相应的访问密钥的信息。

服务端
服务端处理加密的SOAP请求报文前,需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥,所以要进行相应的配置:

代码清单 17 applicationContext-ws-security.xml:报文加密



Java代码
<bean id="wss4jInHandlerEnc" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">  
    <property name="properties">  
        <props>  
            <prop key="action">Encrypt</prop>①加密动作(因为是InHandler所以是解密)②解密操作需要访问保存着server私钥的密钥库,通过属性文件提供相应的配置信息  
            <prop key="decryptionPropFile">com/baobaotao/xfire/wss4j/server/insecurity_enc.properties</prop>③ 通过密码回调类获得密钥对中私密的访问密码  
            <prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.PasswordHandler</prop>  
        </props>  
    </property>  
</bean> 

<bean id="wss4jInHandlerEnc" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">
<property name="properties">
<props>
<prop key="action">Encrypt</prop>①加密动作(因为是InHandler所以是解密)②解密操作需要访问保存着server私钥的密钥库,通过属性文件提供相应的配置信


<prop key="decryptionPropFile">com/baobaotao/xfire/wss4j/server/insecurity_enc.properties</prop>③ 通过密码回调类获得密钥对中私密的访问密码
<prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.PasswordHandler</prop>
</props>
</property>
</bean> 
通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息,包括访问密码和密钥库文件的位置,如下所示:



Java代码
org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin  
org.apache.ws.security.crypto.merlin.keystore.type=jks  
org.apache.ws.security.crypto.merlin.keystore.password=storepass①密钥库访问密码  
org.apache.ws.security.crypto.merlin.file=META-INF/xfire/serverStore.jks②密钥库文件位置 

org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin
org.apache.ws.security.crypto.merlin.keystore.type=jks
org.apache.ws.security.crypto.merlin.keystore.password=storepass①密钥库访问密码
org.apache.ws.security.crypto.merlin.file=META-INF/xfire/serverStore.jks②密钥库文件位置 


由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息,因此WSS4JInHandler可以获取数字证书对应的用户(即server密钥对的别名)。但访问私钥需要密码,所以还是必

须提供一个密码回调类,以获取server私钥的访问密码,如代码清单17中③所示。 PasswordHandler密码回调类如下所示:

代码清单18 PasswordHandler



Java代码
package com.baobaotao.xfire.wss4j.server;  
…  
public class PasswordHandler implements CallbackHandler {  
    private static final Map<String,String> pwMockDB = new HashMap<String,String>();  
    static{  
        pwMockDB.put("server", "serverpass");  
    }  
    public void handle(Callback[] callbacks) throws WSSecurityException{  
        WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];  
        String id = callback.getIdentifer();  
        callback.setPassword(pwMockDB.get(id));  
    }  


package com.baobaotao.xfire.wss4j.server;

public class PasswordHandler implements CallbackHandler {
private static final Map<String,String> pwMockDB = new HashMap<String,String>();
static{
pwMockDB.put("server", "serverpass");
}
public void handle(Callback[] callbacks) throws WSSecurityException{
WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];
String id = callback.getIdentifer();
callback.setPassword(pwMockDB.get(id));
}
}
大小: 15.3 KB

大小: 16.7 KB
分享到:
评论
2 楼 zhaoshijie 2011-10-21  

哈哈 抱歉,下载第二个文件吧  我刚放上去的 没有密码。
1 楼 hxxyyang 2011-10-21  
这密码是多少啊??

相关推荐

    【webservice----xfire 快速入门代码实训】----<下载不扣分,回帖加1分,欢迎下载,童叟无欺>

    除了基本的Web服务创建,XFire还支持WS-Security、WS-Addressing等高级特性,可以实现更复杂的Web服务需求。同时,它也可以与Spring框架深度整合,提供AOP(面向切面编程)支持,使得Web服务的管理和事务处理更加...

    WS-Security 安全

    例如,BEA WebLogic Workshop 8.1提供了集成的WS-Security支持,而Apache WSS4J结合XFire则适用于开源环境下的应用开发。此外,跨平台的互操作性测试也是实施过程中不可或缺的环节,以确保在不同的系统间可以无缝...

    WebService教程-xfire学习手册【技术文档】

    11. **高级特性**:除了基本的使用,教程可能还会涵盖一些高级主题,如WS-ReliableMessaging、WS-Security等Web服务规范,以及XFire与其他框架(如Spring)的集成。 这份教程对于初学者和有经验的开发者来说都是...

    WebService之XFire和Jax实现身份验证

    XFire和JAX(Java API for XML)都是在Java环境中实现WebService的重要工具,它们分别提供了不同的方法来处理身份验证,确保数据安全传输。 XFire是早期的一个开源项目,它是一个快速、灵活的Web服务框架,支持SOAP...

    WebService教程-xfire学习手册

    6. **高级特性**:深入探讨XFire的高级特性,如WS-Security(Web服务安全)、WS-ReliableMessaging(可靠消息传递)和WS-Addressing(Web服务寻址)。这些特性对于实现安全、可靠和可管理的Web服务至关重要。 7. **...

    使用xfire框架搭建webService的一个demo

    本示例将详细解释如何利用xfire框架搭建一个包含SOAP Header身份验证和WS-Security身份验证的Web Service。 首先,让我们了解`xfire`。Xfire(现为Apache CXF的一部分)是一个开源的Java框架,它简化了创建和使用...

    Xfire整合webservice jar包

    支持多种Web服务业界重要标准如SOAP、WSDL、Web服务寻址(WS-Addressing)、Web服务安全(WS-Security)等; 支持JSR181,可以通过JDK5配置Web服务; 高性能的SOAP实现; 服务器端、客户端代码辅助生成; 对Spring、...

    xfire访问webservice客户端用到的jar包

    - `xfire-jaxws.jar`:JAX-WS兼容性层,提供与Java EE Web服务规范的兼容性。 - `xfire-plexus.jar`:基于Plexus的依赖管理和容器。 - `xfire-spring.jar`:Spring框架集成,使XFire能与Spring无缝配合。 3. **...

    spring-xfire编写webservice

    - 详细讲解如何在Spring中通过XFire实施WS-Security,这是一种标准的安全框架,用于保护Web Service免受攻击,包括身份验证、授权和数据完整性等安全措施。 7. **XFire体系结构**: - 简明扼要地介绍了XFire的...

    WebService(二):XFire实现WebService

    XFIRE.getConfigurer().configure(new File("xfire-config.xml")); // 启动服务 Server server = new JettyServer(8080); server.setHandler(new ServiceBuilder().create(HelloWorldServiceImpl.class).getHandler...

    webservice apache-cxf-3.0.7 jar包

    3. **协议栈**:CXF实现了多种Web服务标准,如WS-Security、WS-Addressing、WS-ReliableMessaging等,为开发者提供了一套完整的WS-*协议栈。 4. **数据绑定**:CXF支持JAXB(Java Architecture for XML Binding)...

    Java使用XFire调用WebService接口

    9. **安全性**:对于涉及到敏感数据或认证的Web服务,XFire也提供了安全特性,如SSL/TLS加密、WS-Security等,以保护通信的安全。 10. **持续集成与部署**:在开发完成后,XFire生成的客户端代码可以被包含在应用的...

    webservice(axis,xfire,cxf)

    CXF支持SOAP、REST、WS-*(如WS-Security、WS-Addressing等)以及各种绑定技术,包括JAX-WS(Java API for XML Web Services)和JAX-RS(Java API for RESTful Web Services)。CXF的强大之处在于它的易用性、性能和...

    WebService CXF学习-入门篇.pdf

    5. **SOAP**:支持1.1和1.2版本,以及WS-I Basic Profile、WS-Security、WS-Addressing等规范。 6. **WSDL**:Web服务描述语言,用于定义服务接口和操作。 **三、CXF 的功能特性** 1. **绑定与数据绑定**:支持...

    使用xfire实现webservice实例

    它支持多种Web服务标准,如WS-I Basic Profile、WS-Security等,并且集成了Spring框架,使得与企业级应用的集成变得非常容易。 **2. 创建Web服务** 创建Web服务的第一步是定义服务接口。你可以使用Java的JAX-RPC或...

    Xfire-v1.99 XFire最高版本

    **XFire v1.99:WebService开发框架详解** XFire,全称为XFire Integration Library,是一个基于Java的开源框架,专门用于构建和部署Web服务。这个“XFire最高版本”指的是XFire项目的最终或最优化的版本,它提供了...

Global site tag (gtag.js) - Google Analytics