2. 程式人生 > >jax-ws之webservice security(安全)教程第三天

jax-ws之webservice security(安全)教程第三天

阿新 發佈:2019-01-28

前言:

在今天的學習中,我們講開始過渡到一個真正的websecurity例子。

第二天中我們知道了如何使用handler來處理客戶端提交上來的使用者名稱與密碼,而在今天的學習中,我們將會使用服務端預先配置的使用者名稱與密碼來authenticate客戶端提交上來的值。

相對於第二天的學習,如果客戶端提交的使用者名稱與密碼輸錯,但還是能夠與服務端建立http連線來說,第三天中的例子的安全性則更高,當客戶端提交上來的使用者名稱與密碼錯誤則更本不可能和服務端建立起有效的http連線。該例子同時適用於一切J2EE AppServer,比如說:IBMWAS, ORACLE WEBLOGIC。

同時,通過該例子將講述ws-security與相關的ws-policy進而一步步過渡到QoS。

1.1 配置J2EE AppServer中的相關使用者名稱與密碼

開啟tomcat下的cnof/tomcat-user.xml檔案:

<?xml version='1.0' encoding='utf-8'?>

<tomcat-users>

  <role rolename="operator"/>

  <user username="tomcatws" password="123456" roles="operator"/>

</tomcat-users>

通過上述配置,我們可以知道我們在tomcat中增加了一個角色叫”operator”,同時配置了一個使用者叫”tomcatws”密碼為”123456”,該使用者屬於operator角色。

1.2 配置web應用中的相關安全形色

請開啟你工程的web.xml檔案,加入下述這段內容:

<security-role>

                   <description>Normal operator user</description>

                   <role-name>operator</role-name>

</security-role>

<security-constraint>

                   <web-resource-collection>

                            <web-resource-name>Operator Roles Security</web-resource-name>

                            <url-pattern>/AuthHelloService</url-pattern>

                   </web-resource-collection>

                   <auth-constraint>

                            <role-name>operator</role-name>

                   </auth-constraint>

                   <user-data-constraint>

                            <transport-guarantee>NONE</transport-guarantee>

                   </user-data-constraint>

</security-constraint>

<login-config>

                   <auth-method>BASIC</auth-method>

</login-config>

這邊可以看到,我們把一個WebService的訪問置於了web security的保護下,如果需要該問該web資源,服務端需要驗證兩部分內容:

1)      是否是合法group/role中的使用者

2)      由於<auth-method>設定為basic,即客戶端要訪問相關的web資源時還需要提供使用者名稱與密碼

二、 開發我們的webservice

2.1 介面

package ctsjavacoe.ws.fromjava;

import javax.jws.WebMethod;

import javax.jws.WebService;

import javax.jws.soap.SOAPBinding;

import javax.jws.soap.SOAPBinding.Style;

@WebService

@SOAPBinding(style = Style.RPC)

public interface AuthHello {

         @WebMethod

         public String say(String name);

}

2.2 實現

package ctsjavacoe.ws.fromjava;

import javax.jws.WebService;

@WebService(endpointInterface = "ctsjavacoe.ws.fromjava.AuthHello")

public class AuthHelloImpl implements AuthHello {

         @Override

         public String say(String name) {

                   return "hello: " + name;

         }

}

該Web Service沒有任何特殊的地方,也沒有使用任何的handler,一切都交給了j2ee App容器去做認證

1.4 佈署webservice

看看我們得到了什麼:

OK,我們輸入tomcatws,密碼為123456

然後我們就得到正確的wsdl的輸出了,接下來我們用客戶端去連服務端。

package ctsjavacoe.ws.fromjava;

import javax.xml.namespace.QName;

import javax.xml.ws.Response;

import javax.xml.ws.BindingProvider;

import javax.xml.ws.Service;

import java.net.URL;

public class AuthHelloClient {

         private static final String WS_URL =

"file:D://wspace/JaxWSClient/wsdl/AuthHelloImplService.wsdl";

         private static final String S_URL =

"http://localhost:8080/JaxWSSample/AuthHelloService?wsdl";

         public static void main(String[] args) throws Exception {

                   URL url = new URL(WS_URL);

                   QName qname = new QName("http://fromjava.ws.ctsjavacoe/",

                                     "AuthHelloImplService");

                   Service service = Service.create(url, qname);

                   AuthHello port = service.getPort(AuthHello.class);

                   BindingProvider bp = (BindingProvider) port;

                   bp.getRequestContext().put(

BindingProvider.USERNAME_PROPERTY,

                                   "tomcatws");

                   bp.getRequestContext().put(

BindingProvider.PASSWORD_PROPERTY, "123456");

                   bp.getRequestContext().put(

BindingProvider.ENDPOINT_ADDRESS_PROPERTY,

                                   S_URL);

                   String rtnMessage = port.say("MK");

                   System.out.println("rtnMessage=====" + rtnMessage);

         }

}

關鍵語句我已經用紅色標粗。

要點:

1)      根據wsdl create出來一個Service,這邊需要一個wsdl,我們不可能用http://這樣形式的wsdl,因為我們此時沒有使用者名稱和密碼,如果我們使用的是http://這樣形式的wsdl直接會拋“授權認證出錯”,因此我們使用jax-ws在編譯服務端時生成的本地wsdl

2)      使用BindingProvider輸入使用者名稱與密碼,最後再使用BindingProvider輸入真正的我們服務端的wsdl即:http://localhost:8080/JaxWSSample/AuthHelloService?wsdl

下面來看執行效果:

故意輸錯使用者名稱與密碼,我們輸入:

bp.getRequestContext().put(

BindingProvider.USERNAME_PROPERTY,

                               "tomcatws");

bp.getRequestContext().put(BindingProvider.PASSWORD_PROPERTY, "12345");

再來執行一下:

可以看到,如果使用者名稱密碼沒有輸對,根本無法通過認證,即連http連線都無法正確建立,這樣我們的安全程度極大的提高了。

4.1 加裝SSL通訊

即實現服務端與客戶端的HTTPS通訊,這一般可以保證傳輸過程中你的soap報文不會被攔截

4.2 報文加密

我們的使用者名稱與密碼是嵌在soapheader中的,是以明文方式存在的,如果一旦被推截,將造成災難性的結果,因此我們需要將我們的soap報文中header部分進行加密,這就是ws-security。

且慢些加密我們的soap-header,要加密很簡單,直接使用對稱或者非對稱演算法把使用者名稱密碼加個密然後傳輸至服務端解密不就完了。

是,是可以這麼做,但你有沒有想過,如果你的客戶端使用的是Java,服務端使用的是.net或者php怎麼辦?對方能用java api來解密嗎?

這時,我們就要使用wcf了,一起來看,什麼叫wcf.

Industry Standard WS-Security

Sun Microsystems and Microsoft jointly test Metro against WCF toensure that Sun web service clients (consumers) and web services (producers) doin fact interoperate with WCF web services applications and vice versa. Thistesting ensures that the following interoperability goals are realized:

l  Metro web services clients can access and consume WCF web services.

l  WCF web services clients can access and consume Metro web services.

Sun provides Metro on the Java platform and Microsoft provides WCFon the .NET 3.0 and .NET 3.5 platforms. The sections that follow describe theweb services specifications implemented by Sun Microsystems in Web ServicesInteroperability Technologies (WSIT) and provide high-level descriptions of howeach WSIT technology works.

這邊出現了一個名詞叫:Metro,這是一個基於JAXWS實現ws-security的標準框架,而Metro支援wcf協議。

現在知道我為什麼讓大家用jax-ws的意圖了吧。

Metro支援的ws-security有以下幾種:

ü  Username Authentication with Symmetric Key

ü  Username Authentication with Password Derived Keys

ü  Mutual Certificates Security

ü  Symmetric Binding with Kerberos Tokens

ü  Transport Security (SSL)

ü  Message Authentication over SSL

ü  SAML Authorization over SSL

ü  Endorsing Certificate

ü  SAML Sender Vouches with Certificates

ü  SAML Holder of Key

ü  STS Issued Token

ü  STS Issued Token with Service Certificate

ü  STS Issued Endorsing Token

真夠多的啊,我們看第一種,就是我們說的基於使用者名稱密碼的ws-security,而且這個soap報文中的使用者名稱與密碼是被加密的。

要寫符合WCF的webservice需要在webservice中引入QoS概念。

什麼是QoS,從字面上理解就是qualityof service,它是一個很廣的概念,它主要是把傳統的一個webservice從架構上再分成7個部分,即你的webservice需要包含下面7個主要的方面:

ü  Availability

ü  Performance

ü  Reliability

ü  Regulatory

ü  Security

ü  Integrity

ü  Accessibility

QoS所處的位置:

看到這邊大家頭不要大,我們一起來看,到底怎麼來實現QoS呢?

5.4 使用QoS中的security

我們使用QoS中的security來實現我們的soap報文的加密與傳輸,下面給出一個soap報文片段:

<?xml version="1.0" encoding="UTF-8"?>

<soapenv:Envelope xmlns:soapenv="..." xmlns:wsa="...">

<soapenv:Header>

<wsse:Security xmlns:wsse="..." soapenv:mustUnderstand="1">

<wsse:BinarySecurityToken xmlns:wsu=...>MIIBvT...BnesE0=</wsse:BinarySecurityToken>

<EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">

<EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>

<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">

<wsse:SecurityTokenReference>

<wsse:KeyIdentifier EncodingType="..." ValueType="...">hS6nfYE9axFgay+gorMEo0I4GfY=

</wsse:KeyIdentifier>

</wsse:SecurityTokenReference>

</ds:KeyInfo>

<CipherData>

<CipherValue>OULe5mAxLwYibommo1Ui/...1gvtagYQ=</CipherValue>

</CipherData>

如何生成上面這個soap報文的呢?

此時,你的webservice需要引入一個policy描述,即ws-policy,下面給出一個policy的片段:

    <wsp:Policy wsu:Id="HelloPortBindingPolicy">

        <wsp:ExactlyOne>

            <wsp:All>

                <wsam:Addressing wsp:Optional="false"/>

                <sp:SymmetricBinding>

                    <wsp:Policy>

                        <sp:ProtectionToken>

                            <wsp:Policy>

                                <sp:X509Token sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/Never">

                                    <wsp:Policy>

                                        <sp:WssX509V3Token10/>

                                        <sp:RequireIssuerSerialReference/>

                                    </wsp:Policy>

                                </sp:X509Token>

                            </wsp:Policy>

                        </sp:ProtectionToken>

                        <sp:Layout>

                            <wsp:Policy>

                                <sp:Strict/>

                            </wsp:Policy>

                        </sp:Layout>

                        <sp:IncludeTimestamp/>

                        <sp:OnlySignEntireHeadersAndBody/>

                        <sp:AlgorithmSuite>

                            <wsp:Policy>

                                <sp:Basic128/>

                            </wsp:Policy>

                        </sp:AlgorithmSuite>

即,在佈署webservice時,需要把空上policy和wsdl一起編譯成帶有QoS的webservice。

5.6 後話

在這個教程中,我不會帶出從頭至尾如何生成ws-policy和相應的帶有QoS的Webservice以及相關的客戶端。

因為大家如果把jax-ws的前五天基礎教程看完後,加上我這後三天的教程,完全可以自己有能力去用Metro來自己實現相關的soap報文加密。

這屬於非常easy的事,搞個2-3天就能實現。

同時,一般的專案,能夠真正用到通過soap報文傳遞使用者名稱與密碼或者通過handler的,並不多,一般都是用http://login.do?username=xxx&pwd=xxx這種拍屁股的做法在傳使用者名稱與密碼,頂多加個https了不得了。

如果當你碰到真正做到了帶有QoS的webservice時,自己結合我這8天教程,自己搞一下Metro就能搞得定,實在不行了,再來找我。

最後,給大家推薦3樣東西:

1.      Tomcat6扔了吧,用7了

2.      下載netbean7.0.1(其中自帶tomcat7)

3.      使用glassfish3(支援J2EE6規範),一個縮小免費版的weblogic

如果你對QoS有興趣,使用上述3樣東西會簡化你的學習過程。



相關推薦

jax-wswebservice security(安全教程

前言: 在今天的學習中,我們講開始過渡到一個真正的websecurity例子。 第二天中我們知道了如何使用handler來處理客戶端提交上來的使用者名稱與密碼,而在今天的學習中,我們將會使用服務端預先配置的使用者名稱與密碼來authenticate客戶端提交上來的值。 相對

jax-wswebservice security(安全教程第一

前言: 在前面的“5天學會jaxws-webservice教程”,我們講了基本的jax-ws的使用。 Jax-ws是業界公認的標準的webservice,它已經成為了一個行業界標準,包括cxf,其實cxf也是呼叫的jax-ws為標準的基於spring的webservice框

c語言學習選擇結構程序設計(

c語言 選擇結構為了增加理解,寫的幾個小程序1:判斷三角形的成立以及輸出最大邊 練習前三種語句#include <stdio.h> int main() { int a,b,c; printf("請輸入三角形三邊長(邊為整數,不能輸入負數):"); scanf("%d%d%d", &a ,

Shell教程(流控制、函式

if else 句式: if condition then command1 command2 ... commandN fi if else if else if condition1 then command1

nessus安裝、msfconsole輔助模組使用(網安全實訓

本期內容:nessus安裝、msfconsole輔助模組使用、後滲透攻擊 1. nessus安裝 2.msfconsole輔助模組使用 3.後滲透攻擊 1. nessus安裝 (1)下載nessus 我下載的Nessus-7.1.0-x64

《JavaScript高階程式設計(3版 引用型別

/*====================================================== *@author wf_Huang *@Time 2018/9/18 20:06 *=======================================

Servlet容器(Tomcat中釋出並實現jax-ws應用 webservice 理論與實踐步驟

以上為web.xml,web應用部署描述符檔案的相關與Spring和CXF框架整合的配置 其中hello_world_servlet為專案根目錄,即tomcat的webapp 下的名為hello_world_servlet這個webservice專案的根目錄

jax-ws實現Webservice入門教程 (客戶端呼叫服務端實現)

前兩節中簡單的介紹了一下基本的JAX-WS API的使用,這一節更進一步的介紹一些其他的內容 一、wsimport工具的使用 在第二節中(http://liugang594.iteye.com/blog/1343608),可以看到要手動建立一個client端進行一次正確的呼叫,需要關注的東西還是挺

WebService筆記(第二彈:使用JAX-WS開發WebService

我們現在先來使用JDK的JAX-WS來開發一個WebService。 JAX-WS規範是一組XML web services的JAVA API。JAX-WS允許開發者可以選擇RPC-oriented或者message-oriented 來實現自己的web se

WebService:JAX-WS實現WebService

nload cal data- pos 接口 rri implement publish sni WebService和Java核心技術中的RMI一樣用於實現異構平臺上的應用程序之間數據的交互,唯一不同的是這樣的技術屏蔽了語言之間的差異。這也是其大行其道

Spring Boot用Cxf的jax-ws開發WebService

contex 字符串 scope nap 1.0 地址 method ons lean 首先上項目的pom.xml: 1 <?xml version="1.0" encoding="UTF-8"?> 2 <project xmlns="http

java學習筆記webservice(二--WSDL文件及用myeclipse測試webservice

 >>接上篇 一、WSDL 定義:web services description language,用來描述web服務的xml格式的資訊。 標籤的解釋 1. <types>:定義了服務的namespace和關鍵資訊的型別(方法的引數型別和返回值的

eclipse中使用jax-ws進行 webservice開發

java的JRE中封裝了JAX-WS的jar包,1.6以上可以直接使用,很方便. 首先建立servcie類 import javax.jws.WebMethod; import javax.jws.WebService; import javax.jws.soap.SOAPBin

spring註解方式,使用jax-ws配置webservice,適合小白。看不會你打死我!

前提條件:java –spring框架,註解(能夠掃描@webService標籤) 1.   經過一天的煎熬和掙扎,終於把webservice的其中非常簡單的配置方法給弄明白了,就是JAX-WS配置webservice,真的非常簡單,只是細節一一旦出了點問題,全盤皆輸,為了

基於JAX-WSwebService開發例項

最近因為工作原因接觸到webService,所以記錄下開發中碰到的問題,方便自己以後複習,順便發揚一下開源精神。剛剛接觸webServie如果有什麼錯誤歡迎大家指正。 本地環境:myEclipse10.6 tomcat7 JDK7 jaxws-ri-2.2.10 第一步:建

JDK1.6整合的JAX-WS開發webservice

JDK1.6中自帶了webservice的功能,因為集成了JAX-WS,這非常方便,不用再用第三方包來開發了。 下面我們開始構建:   1,先用Eclipse建立一個動態網站,注意需要生成web.xml,建工程的時候不要忘記勾選;   2,建立類實現Web Services

Jfinal web專案中 利用JAX-WS釋出webService 返回json字串

一、編寫java程式碼 import java.util.List; import javax.jws.WebService; import javax.jws.soap.SOAPBinding; import javax.servlet.http.HttpServle

Python學習路 (四爬蟲(HTTP和HTTPS

CP 發出 net 長度 現在 消息頭 理論 LV 模型 HTTP和HTTPS HTTP協議(HyperText Transfer Protocol,超文本傳輸協議):是一種發布和接收 HTML頁面的方法。 HTTPS(Hypertext Transfer Protoc

struts2框架文件上傳(參考學習筆記

input 允許 jakarta ges too 文件的 ESS dir 參數 上傳 1. 上傳對表單的要求 * method=post * enctype=multipart/form-data 2. 上傳對servlet要求 * getParameter()不能再使用!

struts2框架OGNL(參考學習筆記

元素 eterm 進行 oot 結構 保存 pass 一個表 this ognl 1. 什麽是ognl 對象圖導航語言 Struts內置的表達式語言,它比EL要強大很多。 ------------------ 2. 單獨學習ognl * EL它操作的數據來自於:四大域