基于XFire实施WS-Security(第二部分)

基于XFire实施WS-Security(第一部分)

使用用户名/密码进行身份认证

对SOAP报文进行身份认证的方式很多，不过都是通过在SOAP报文头中添加一些安全凭证(Security Token)信息来完成的，主要包括以下一些身份凭证：
用户名/密码； X.509 证书； Kerberos 票据和认证者； SIM 卡的移动设备安全性凭证。

其中用户名/密码是最简单的身份认证方式，它不需要密钥、数字证书，所以也就不需要CA，部署实施简单易行。下面我们就通过例子讲解如何进行基于用户名/密码的SOAP认证。这个实例让客户端提供用户名/密码，服务端验证客户端的身份，而客户端按正常方式接收SOAP响应报文。
服务端

服务端创建一个applicationContext-ws-security.xml，让BbtForumService拥有用户名/密码的认证功能。

代码清单1 applicationContext-ws-security.xml：身份认证

<beans>

<import resource="classpath:org/codehaus/xfire/spring/xfire.xml" />

<bean id="baseWebService"class="org.codehaus.xfire.spring.remoting.XFireExporter"

lazy-init="false" abstract="true">

<property name="serviceFactory" ref="xfire.serviceFactory" />

<property name="xfire" ref="xfire" />

</bean>

<bean parent="baseWebService">

<property name="serviceBean" ref="bbtForum" />

<property name="serviceClass"

value="com.baobaotao.xfire.server.BbtForumService" />

<property name="name" value="BbtForumServiceUT"/>①Web Service名称

<property name="inHandlers">

<list>

<ref bean="domInHandler" />②负责将STAX流模型的SOAP转换为DOM模型

<ref bean="wss4jInHandler" />③对用户名/密码进行检查

</list>

</property>

</bean>

<bean id="domInHandler"class="org.codehaus.xfire.util.dom.DOMInHandler" />

<bean id="wss4jInHandler"class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">

<property name="properties">

<props>

<prop key="action">UsernameToken</prop>④指定认证类型

<prop key="passwordCallbackClass">⑤指定一个密码回调实现类

com.baobaotao.xfire.wss4j.server.UtPasswordHandler

</prop>

</props>

</property>

</bean>

<bean id="bbtForum" class="com.baobaotao.service.BbtForum" />

</beans>

对SOAP报文体进行加密

虽然通过数字签名解决了完整性和不可抵赖性的安全问题，但报文体还是以明文的方式进行发送，在传输过程中，报文的内容有可能被监视，保密性得不到保证。

如果报文体中包含了一些敏感的内容，则发送者希望报文的内容能以加密的方式进行传输，防止窥视。通过对SOAP报文体进行加密，即可解决保密性的问题。

客户端使用服务端的公钥对请求SOAP报文进行加密，服务端公钥包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为 server，访问服务端数字证书无须密码。服务端需要使用私钥进行解密，服务端私钥包含在服务端的密钥对中，在serverStore.jks中服务端密钥对的别名为server，访问私钥的密码为serverpass。

在XFire中对SOAP报文体进行加密解密需要解决的主要就是注册相应的Handler，并为其提供相应的访问密钥的信息。
服务端

服务端处理加密的SOAP请求报文前，需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥，所以要进行相应的配置：

代码清单17 applicationContext-ws-security.xml：报文加密

<bean id="bbtForumServiceEnc" parent="baseWebService">

<property name="serviceBean" ref="bbtForum"/>

<property name="serviceClass"

value="com.baobaotao.xfire.server.BbtForumService"/>

<property name="name" value="BbtForumServiceEnc" />

<property name="inHandlers">

<list>

<ref bean="domInHandler"/>

<ref bean="wss4jInHandlerEnc"/>

</list>

</property>

</bean>

<bean id="wss4jInHandlerEnc" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">

<property name="properties">

<props>

<prop key="action">Encrypt</prop>①加密动作（因为是InHandler所以是解密）

②解密操作需要访问保存着server私钥的密钥库，

通过属性文件提供相应的配置信息

<prop key="decryptionPropFile">

com/baobaotao/xfire/wss4j/server/insecurity_enc.properties

</prop>

③ 通过密码回调类获得密钥对中私密的访问密码

<prop key="passwordCallbackClass">

com.baobaotao.xfire.wss4j.server.PasswordHandler

</prop>

</props>

</property>

</bean>

通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息，包括访问密码和密钥库文件的位置，如下所示：

org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin

org.apache.ws.security.crypto.merlin.keystore.type=jks

org.apache.ws.security.crypto.merlin.keystore.password=storepass①密钥库访问密码

org.apache.ws.security.crypto.merlin.file=META-INF/xfire/serverStore.jks②密钥库文件位置

由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息，因此WSS4JInHandler可以获取数字证书对应的用户（即 server密钥对的别名）。但访问私钥需要密码，所以还是必须提供一个密码回调类，以获取server私钥的访问密码，如代码清单17中③所示。 PasswordHandler密码回调类如下所示：

代码清单18 PasswordHandler

package com.baobaotao.xfire.wss4j.server;

…

public class PasswordHandler implements CallbackHandler {

private static final Map<String,String> pwMockDB = new HashMap<String,String>();

static{

pwMockDB.put("server", "serverpass");

}

public void handle(Callback[] callbacks) throws WSSecurityException{

WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];

String id = callback.getIdentifer();

callback.setPassword(pwMockDB.get(id));

}

}