CXF 入门：创建一个基于WS-Security标准的安全验证(CXF回调函数使用,)

http://jyao.iteye.com/blog/1346547

注意：以下客户端调用代码中获取服务端ws实例，都是通过CXF 入门: 远程接口调用方式实现

直入正题！

以下是服务端配置

========================================================

一，web.xml配置,具体不在详述

1. <?xml version="1.0" encoding="UTF-8"?>
2. <!DOCTYPE web-app
3. PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
4. "http://java.sun.com/dtd/web-app_2_3.dtd">
5. <web-app>
6. <context-param>
7. <param-name>contextConfigLocation</param-name>
8. <!--ws-context.xml(必须）是cxf配置文件, wssec.xml可选，作用可以打印出加密信息类容 -->
9. <param-value>WEB-INF/ws-context.xml,WEB-INF/wssec.xml</param-value>
10. </context-param>
11. <listener>
12. <listener-class>
13. org.springframework.web.context.ContextLoaderListener
14. </listener-class>
15. </listener>
16. <servlet>
17. <servlet-name>CXFServlet</servlet-name>
18. <display-name>CXF Servlet</display-name>
19. <servlet-class>
20. org.apache.cxf.transport.servlet.CXFServlet
21. </servlet-class>
22. <load-on-startup>0</load-on-startup>
23. </servlet>
24. <servlet-mapping>
25. <servlet-name>CXFServlet</servlet-name>
26. <url-pattern>/services/*</url-pattern>
27. </servlet-mapping>
28. </web-app>

二，ws具体代码
简单的接口

1. import javax.jws.WebService;
2. @WebService()
3. public interface WebServiceSample {
4. String say(String name);
5. }

接口具体实现类

1. public class WebServiceSampleImpl implements WebServiceSample {
2. public String say(String name) {
3. return "你好," + name;
4. }
5. }

三,ws回调函数,必须实现javax.security.auth.callback.CallbackHandler

从cxf2.4.x后校验又cxf内部实现校验，所以不必自己校验password是否相同，但客户端必须设置，详情请参考：http://cxf.apache.org/docs/24-migration-guide.html的Runtime  Changes片段

回调函数WsAuthHandler代码，校验客户端请求是否合法 ，合法就放行，否则拒绝执行任何操作

1. import java.io.IOException;
2. import javax.security.auth.callback.Callback;
3. import javax.security.auth.callback.CallbackHandler;
4. import javax.security.auth.callback.UnsupportedCallbackException;
5. import org.apache.cxf.interceptor.Fault;
6. import org.apache.ws.security.WSPasswordCallback;
7. import org.apache.xmlbeans.impl.soap.SOAPException;
8. public class WsAuthHandler implements CallbackHandler {
9. public void handle(Callback[] callbacks) throws IOException,
10. UnsupportedCallbackException {
11. for (int i = 0; i < callbacks.length; i++) {
12. WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
13. String identifier = pc.getIdentifier();
14. int usage = pc.getUsage();
15. if (usage == WSPasswordCallback.USERNAME_TOKEN) {// 密钥方式USERNAME_TOKEN
16. // username token pwd...
17. // ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验，不必自己比较password是否相同
18. // 请参考：http://cxf.apache.org/docs/24-migration-guide.html的Runtime
19. // Changes片段
20. pc.setPassword("testPassword");// ▲【这里非常重要】▲
21. // ▲PS 如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:
22. // The
23. // security token could not be authenticated or
24. // authorized异常，服务端会认为客户端为非法调用
25. } else if (usage == WSPasswordCallback.SIGNATURE) {// 密钥方式SIGNATURE
26. // set the password for client's keystore.keyPassword
27. // ▲这里的值必须和客户端设的值相同,从cxf2.4.x后校验方式改为cxf内部实现校验，不必自己比较password是否相同;
28. // 请参考：http://cxf.apache.org/docs/24-migration-guide.html的Runtime
29. // Changes片段
30. pc.setPassword("testPassword");// //▲【这里非常重要】▲
31. // ▲PS:如果和客户端不同将抛出org.apache.ws.security.WSSecurityException:The
32. // security token could not be authenticated or
33. // authorized异常，服务端会认为客户端为非法调用
34. }
35. //不用做其他操作
36. }
37. }
38. }

四，CXF配置ws-context.xml：

1. <?xml version="1.0" encoding="UTF-8"?>
2. <beans xmlns="http://www.springframework.org/schema/beans"
3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jaxws="http://cxf.apache.org/jaxws"
4. xsi:schemaLocation="
5. http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
6. http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd">
7. <import resource="classpath:META-INF/cxf/cxf.xml" />
8. <import resource="classpath:META-INF/cxf/cxf-extension-soap.xml" />
9. <import resource="classpath:META-INF/cxf/cxf-servlet.xml" />
10. <!-- 以上未基本配置，必须，位置在cxf jar中 -->
11. <jaxws:endpoint id="webServiceSample" address="/WebServiceSample"
12. implementor="com.service.impl.WebServiceSampleImpl">
13. <!--inInterceptors表示被外部调用时，调用此拦截器 -->
14. <jaxws:inInterceptors>
15. <bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
16. <bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
17. <constructor-arg>
18. <map>
19. <!-- 设置加密类型 -->
20. <entry key="action" value="UsernameToken" />
21. <!-- 设置密码类型为明文 -->
22. <entry key="passwordType" value="PasswordText" />
23. <!--<entry key="action" value="UsernameToken Timestamp" /> 设置密码类型为加密<entry
24. key="passwordType" value="PasswordDigest" /> -->
25. <entry key="passwordCallbackClass" value="com.service.handler.WsAuthHandler" />
26. </map>
27. </constructor-arg>
28. </bean>
29. </jaxws:inInterceptors>
30. </jaxws:endpoint>
31. </beans>

CXF配置wssec.xml(可选)，用于配置输出校验的具体信息

1. <?xml version="1.0" encoding="UTF-8"?>
2. <beans xmlns="http://www.springframework.org/schema/beans"
3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:cxf="http://cxf.apache.org/core"
4. xmlns:wsa="http://cxf.apache.org/ws/addressing" xmlns:http="http://cxf.apache.org/transports/http/configuration"
5. xmlns:wsrm-policy="http://schemas.xmlsoap.org/ws/2005/02/rm/policy"
6. xmlns:wsrm-mgr="http://cxf.apache.org/ws/rm/manager"
7. xsi:schemaLocation="
8. http://cxf.apache.org/core http://cxf.apache.org/schemas/core.xsd
9. http://cxf.apache.org/transports/http/configuration http://cxf.apache.org/schemas/configuration/http-conf.xsd
10. http://schemas.xmlsoap.org/ws/2005/02/rm/policy http://schemas.xmlsoap.org/ws/2005/02/rm/wsrm-policy.xsd
11. http://cxf.apache.org/ws/rm/manager http://cxf.apache.org/schemas/configuration/wsrm-manager.xsd
12. http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
13. <cxf:bus>
14. <cxf:features>
15. <cxf:logging />
16. <wsa:addressing />
17. </cxf:features>
18. </cxf:bus>
19. </beans>

服务端代码及配置到此结束！！！

=========================================================

=========================================================

以下是客户端配置，主要是回调函数，在客户端调用服务端前被调用，负责安全信息的设置

----------------------------------------------------------------------------------------

一，先实现回调函数WsClinetAuthHandler，同样必须实现javax.security.auth.callback.CallbackHandler

1. import java.io.IOException;
2. import javax.security.auth.callback.Callback;
3. import javax.security.auth.callback.CallbackHandler;
4. import javax.security.auth.callback.UnsupportedCallbackException;
5. import org.apache.ws.security.WSPasswordCallback;
6. public class WsClinetAuthHandler implements CallbackHandler {
7. public void handle(Callback[] callbacks) throws IOException,
8. UnsupportedCallbackException {
9. for (int i = 0; i < callbacks.length; i++) {
10. WSPasswordCallback pc = (WSPasswordCallback) callbacks[i];
11. System.out.println("identifier: " + pc.getIdentifier());
12. // 这里必须设置密码，否则会抛出：java.lang.IllegalArgumentException: pwd == null
13. // but a password is needed
14. pc.setPassword("testPassword");// ▲【这里必须设置密码】▲
15. }
16. }
17. }

二，客户端调用代码：

1. import java.util.ArrayList;
2. import java.util.HashMap;
3. import java.util.Map;
4. import org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor;
5. import org.apache.cxf.jaxws.JaxWsProxyFactoryBean;
6. import org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor;
7. import org.apache.ws.security.WSConstants;
8. import org.apache.ws.security.handler.WSHandlerConstants;
9. import test.saa.client.WebServiceSample;
10. import test.saa.handler.WsClinetAuthHandler;
11. public class TestClient {
12. public static void main(String[] args) {
13. // 以下和服务端配置类似，不对，应该说服务端和这里的安全验证配置一致
14. Map<String, Object> outProps = new HashMap<String, Object>();
15. outProps.put(WSHandlerConstants.ACTION,
16. WSHandlerConstants.USERNAME_TOKEN);
17. outProps.put(WSHandlerConstants.USER, "admin");
18. outProps.put(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
19. // 指定在调用远程ws之前触发的回调函数WsClinetAuthHandler，其实类似于一个拦截器
20. outProps.put(WSHandlerConstants.PW_CALLBACK_CLASS,
21. WsClinetAuthHandler.class.getName());
22. ArrayList list = new ArrayList();
23. // 添加cxf安全验证拦截器，必须
24. list.add(new SAAJOutInterceptor());
25. list.add(new WSS4JOutInterceptor(outProps));
26. JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean();
27. // WebServiceSample服务端接口实现类，这里并不是直接把服务端的类copy过来，具体请参考http://learning.iteye.com/blog/1333223
28. factory.setServiceClass(WebServiceSample.class);
29. // 设置ws访问地址
30. factory.setAddress("http://localhost:8080/cxf-wssec/services/WebServiceSample");
31. //注入拦截器，用于加密安全验证信息
32. factory.getOutInterceptors().addAll(list);
33. WebServiceSample service = (WebServiceSample) factory.create();
34. String response = service.say("2012");
35. System.out.println(response);
36. }
37. }

客户端到此结束！！！！

========================================================================

#######################################################################

PS:客户端的另一种调用方式，主要通过配置文件,不过需要spring bean的配置文件（第一种就不用牵扯到spring的配置，比较通用吧！）

一，回调函数WsClinetAuthHandler不变，和上面一样
二，client-beans.xml安全验证配置文件，具体信息看注释，如下：

1. <?xml version="1.0" encoding="UTF-8"?>
2. <beans xmlns="http://www.springframework.org/schema/beans"
3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:jaxws="http://cxf.apache.org/jaxws"
4. xsi:schemaLocation="
5. http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
6. http://cxf.apache.org/jaxws http://cxf.apache.org/schema/jaxws.xsd">
7. <!--这里无非是通过配置来替代JaxWsProxyFactoryBean factory = new JaxWsProxyFactoryBean()创建代理并实例化一个ws-->
8. <bean id="client" class="test.saa.client.WebServiceSample"
9. factory-bean="clientFactory" factory-method="create" />
10. <!-- 通过代理创建ws实例 -->
11. <bean id="clientFactory" class="org.apache.cxf.jaxws.JaxWsProxyFactoryBean">
12. <property name="serviceClass" value="test.saa.client.WebServiceSample" />
13. <!-- ws地址，也可以是完整的wsdl地址 -->
14. <property name="address"
15. value="http://localhost:8080/cxf-wssec/services/WebServiceSample" />
16. <!--outInterceptors表示调用外部指定ws时，调用此拦截器 -->
17. <property name="outInterceptors">
18. <list>
19. <bean class="org.apache.cxf.binding.soap.saaj.SAAJOutInterceptor" />
20. <ref bean="wss4jOutConfiguration" />
21. </list>
22. </property>
23. </bean>
24. <bean id="wss4jOutConfiguration" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
25. <property name="properties">
26. <map>
27. <!-- 设置加密类型 ,服务端需要和这里的设置保持一致-->
28. <entry key="action" value="UsernameToken" />
29. <entry key="user" value="admin" />
30. <!-- 设置密码为明文 ,服务端需要和这里的设置保持一致-->
31. <entry key="passwordType" value="PasswordText" />
32. <!-- <entry key="action" value="UsernameToken Timestamp" /> <entry key="user"
33. value="adminTest" /> 设置密码类型为加密方式,服务端需要和这里的设置保持一致<entry key="passwordType" value="PasswordDigest"
34. /> -->
35. <entry key="passwordCallbackRef">
36. <ref bean="passwordCallback" />
37. </entry>
38. </map>
39. </property>
40. </bean>
41. <bean id="passwordCallback" class="test.saa.handler.WsClinetAuthHandler" />
42. </beans>

三，具体调用服务端代码：

1. import org.springframework.context.ApplicationContext;
2. import org.springframework.context.support.ClassPathXmlApplicationContext;
3. import test.saa.client.WebServiceSample;
4. public final class Client {
5. public static void main(String args[]) throws Exception {
6. //加载配置
7. ApplicationContext context = new ClassPathXmlApplicationContext(
8. new String[] { "test/saa/client-beans.xml" });
9. //获取ws实例
10. WebServiceSample client = (WebServiceSample) context.getBean("client");
11. String response = client.say("2012");
12. System.out.println("Response: " + response);
13. }
14. }

到此客户端第二种实现方式结束
GOOD LUCKY!!!
如有不明，请指教！！！

1 
顶

0 
踩

分享到：  

解决(CXF)：The security token could not ... | CXF 入门：创建一个基于SOAPHeader的安全验 ...

• 2012-01-15 00:37
• 浏览 4453
• 评论(6)
• 收藏
• 分类:企业架构
• 相关推荐

参考知识库

Git知识库286  关注 | 304  收录

jQuery知识库445  关注 | 232  收录

大型网站架构知识库1233  关注 | 532  收录

AngularJS知识库594  关注 | 262  收录

评论

6 楼 wentao_tang 2013-12-02   引用

客户端调用，这行代码是必须的吗，有什么作用吗？
outProps.put(WSHandlerConstants.USER, "admin"); 

5 楼 xiangximingong 2013-09-18   引用

我想问下，就是客户端传入错误的密码，也会抛一个异常，但这个异常我不知道在哪捕获，也不知道怎么通知客户端密码错误！能否指教下……

4 楼 zhenglongfei 2013-07-25   引用

想不通，为什么要在服务端要在set一下呢？？

3 楼 Sev7en_jun 2012-12-06   引用

ice.kane 写道

zl759869747 写道

 我想问下，为什么在服务端的回调函数里面当还要setPassword呢？我很郁闷的是，我在客户端明明已经设定了密码，可是服务端却拿不到，而且如果有服务端不设定密码就抛异常，我想问下到底是怎么样校验的呢？

我也是遇到这个问题。。

在服务端setPassword，那密码校验还有什么意义

1，为什么不设置密码会抛异常： 
   --既然要把服务加密,就要设置密码，要不然怎么加密，怎么知道哪些客户端是有权限访问的，就像买了一把锁，连自己(服务端)都不知道钥匙是怎么，那别人(客户端)怎么开这把锁 
2，服务端设置密码是为了给自己上一把锁，如果要访问它必须有开这把锁的钥匙，即密码，有钥匙还要保证这个钥匙可以开这把锁，即客户端拿的密码是否和服务端锁的密码一致

2 楼 ice.kane 2012-11-27   引用

zl759869747 写道

 我想问下，为什么在服务端的回调函数里面当还要setPassword呢？我很郁闷的是，我在客户端明明已经设定了密码，可是服务端却拿不到，而且如果有服务端不设定密码就抛异常，我想问下到底是怎么样校验的呢？

我也是遇到这个问题。。

在服务端setPassword，那密码校验还有什么意义

1 楼 zl759869747 2012-10-23   引用

 我想问下，为什么在服务端的回调函数里面当还要setPassword呢？我很郁闷的是，我在客户端明明已经设定了密码，可是服务端却拿不到，而且如果有服务端不设定密码就抛异常，我想问下到底是怎么样校验的呢？