WebService安全机制的思考与实践

近来因业务需要，需要研究webservice，于是便有这篇文章:
SpringBoot整合Apache-CXF实践

一、WebService是什么?

WebService是一个平台独立的、低耦合的、自包含的、基于可编程的web的应用程序，可使用开放的XML（标准通用标记语言下的一个子集）标准来描述、发布、发现、协调和配置这些应用程序，用于开发分布式的交互操作的应用程序。

简单概括如下:
WebService是一种跨平台，跨语言的规范，用于不同平台，不同语言开发的应用之间的交互。

二、Webservice安全机制有哪些？

由于我之前从未实际接触过WebService，对于它的安全机制不了解。于是通过搜索，我得到了关于它的安全机制一些建议:

(1)对webservice发布的方法，方法名称和参数不要使用望文生义的描述；
(2)对webservice发布的方法，在入参中增加一个或多个字符串序列(这里的字符串可以要求必须满足指定的格式，同时字符串可以再通过客户端传参数的时候加密，服务端解密)；
(3)对webservice发布的方法，入参中加上用户名和密码，然后服务端通过数据库校验；
(4)对webservice发布的方法，通过handler/chain方式来实现验证(用户名&密码校验/IP地址校验等)；
(5)对webservice发布的方法，采用webservice的users.lst来进行验证；
(6)对webservice发布的服务，通过servlet的Filter来实现验证；
(7)对webservice传输过程中的数据进行加密；
(8)自己写校验框架来实现webservice的安全；
(9)其它方式.

上述是搜索方面出现毕竟频繁的，也是webservice比较普遍的方式之一。

我思虑再三决定结合以往开发HTTP应用安全经验和现有参考WebService安全机制结合起来。

于是便有了如下的安全机制方案:

Token鉴权机制;
公私钥签名校验;
IP白名单校验.

三、如何实现Token鉴权、公私钥签名校验、IP白名单校验等WebService安全方案呢？

本次代码已同步到我的Apache CXF代码例子里了，Github地址为:
https://github.com/developers-youcong/blog-cxf

核心代码，关键在于拦截器

package com.blog.cxf.server.interceptor;

import cn.hutool.core.util.StrUtil;

import com.blog.cxf.server.security.SecretKey;

import com.blog.cxf.server.utils.IpUtils;

import lombok.extern.slf4j.Slf4j;

import org.apache.cxf.binding.soap.SoapMessage;

import org.apache.cxf.headers.Header;

import org.apache.cxf.interceptor.Fault;

import org.apache.cxf.message.Message;

import org.apache.cxf.phase.AbstractPhaseInterceptor;

import org.apache.cxf.phase.Phase;

import org.apache.cxf.phase.PhaseInterceptorChain;

import org.apache.cxf.transport.http.AbstractHTTPDestination;

import org.springframework.stereotype.Component;

import org.w3c.dom.Element;

import org.w3c.dom.Node;

import org.w3c.dom.NodeList;

import javax.servlet.http.HttpServletRequest;

import java.util.HashSet;

import java.util.List;

import java.util.Properties;

import java.util.Set;

/**

 * @description: 认证鉴权拦截器

 * @author: youcong

 * @time: 2020/10/31 17:07

 */

@Slf4j

@Component

public class AuthInterceptor extends AbstractPhaseInterceptor<SoapMessage> {

    public AuthInterceptor() {

        super(Phase.PRE_INVOKE);

    }

    public void handleMessage(SoapMessage msg) throws Fault {

        Message ipVerify = PhaseInterceptorChain.getCurrentMessage();

        HttpServletRequest request = (HttpServletRequest) ipVerify.get(AbstractHTTPDestination.HTTP_REQUEST);

        //处理IP

        handleIp(request);

        Header authHeader = null;

        //获取验证头

        List<Header> headers = msg.getHeaders();

        if (headers.isEmpty()) {

            throw new Fault(new Exception("请求头为空"));

        }

        for (Header h : headers) {

            log.info("h:" + h.getName().toString().contains("auth"));

            if (h.getName().toString().contains("auth")) {

                authHeader = h;

                break;

            } else {

                throw new Fault(new Exception("请求头需包含auth"));

            }

        }

        Element auth = (Element) authHeader.getObject();

        NodeList childNodes = auth.getChildNodes();

        Set<String> reqHeader = new HashSet<String>();

        for (int i = 0; i < childNodes.getLength(); i++) {

            //处理节点

            handleNode(childNodes.item(i), reqHeader);

        }

        //处理请求Key

        handleSOAPReqHeader(reqHeader);

    }

    //处理IP

    private void handleIp(HttpServletRequest request) {

        String[] ip_arr = new String[]{"127.0.0.1", "192.168.52.50"};

        for (String str : ip_arr) {

            System.out.println("ip:" + str);

        }

        Set<String> ipSet = new HashSet<String>();

        for (String item : ip_arr) {

            ipSet.add(item);

            if (ipSet.contains(IpUtils.getIpAddr(request))) {

                log.info("合法IP:" + item);

            } else {

                throw new Fault(new Exception("非法IP"));

            }

        }

    }

    //处理节点

    private void handleNode(Node items, Set<String> reqHeader) {

        Node item = items;

        //存储请求头Key

        if (item.getLocalName() != null) {

            String str = new String(item.getLocalName());

            reqHeader.add(str);

        }

        //获取请求头token

        if (item.getNodeName().contains("token")) {

            String tokenValue = item.getTextContent();

            if (!StrUtil.isEmpty(tokenValue)) {

                if ("soap".equals(tokenValue)) {

                    log.info("token Value:" + tokenValue);

                } else {

                    throw new Fault(new Exception("token错误"));

                }

            } else {

                throw new Fault(new Exception("token不能为空"));

            }

        }

        //获取请求头sign

        if (item.getNodeName().contains("sign")) {

            String signValue = item.getTextContent();

            if (!StrUtil.isEmpty(signValue)) {

                //原数据

                String originData = "test_webservice_api_2020";

                try {

                    //比对签名

                    boolean verifySign = SecretKey.verifySign(originData, signValue);

                    log.info("verifySign:" + verifySign);

                    if (verifySign) {

                        log.info("sign Value:" + signValue);

                    } else {

                        throw new Fault(new Exception("签名错误"));

                    }

                } catch (Exception e) {

                    throw new Fault(new Exception("签名错误"));

                }

            } else {

                throw new Fault(new Exception("签名不能为空"));

            }

        }

    }

    //处理SOAP请求头Key

    private void handleSOAPReqHeader(Set<String> reqHeader) {

        if (reqHeader.contains("token")) {

            log.info("包含token");

        } else {

            throw new Fault(new Exception("请求头auth需包含token"));

        }

        if (reqHeader.contains("sign")) {

            log.info("包含sign");

        } else {

            throw new Fault(new Exception("请求头auth需包含sign"));

        }

    }

}

1.Token鉴权的目的是什么？

每个用户生成的token不一样，获取token的接口是需要对应的用户名和密码，通过用户名和密码产生token，token放在请求头里，后台可根据token识别是哪个用户请求哪个接口，后面日志存储会提到的。

2.Token的生成有哪些方案？

可以参考我写的这篇文章:SpringCloud之Security
这篇文章我结合了JWT。

除此之外还可以结合某种规则(用户名+密码+特殊UUID+用户注册码)生成加密的token。

3.签名的目的是什么？

为了数据安全和防止重复提交。

4.如何实现签名？

签名的规则有很多，可以增加某种证书公私钥，也可以时间戳。

5.为什么需要IP白名单校验？

主要是为了安全，防止非法IP不停的请求，造成恶意攻击(如DOS攻击和DDOS攻击等)。

6.IP白名单校验有哪些方案？

可以将IP白名单放在对应的数据表中，也可以将其放到配置文件里，还可以将其存一个数组中(就像我在上述代码所写的那样)。

7.开始测试

(1)非法IP请求(不在数组内的IP)

(2)携带错误的Token请求

(3)携带错误的签名请求

(4)正确请求(token正确、签名正确、IP合法)

8.证书生成方案(公私钥)

这一块我主要参考了这篇文章，这篇文章很完整，大家可以参考一下:
Java 证书(keytool实例)代码实现加解密、加签、验签

生成证书核心两条命令，如下(注意，其中的密码之类的，改成自己的):

## 生成私钥

keytool -genkey -alias yunbo2 -keypass 123456 -keyalg RSA -keysize 1024 -validity 3650 -keystore merKey.jks -storepass abc@2018 -dname "CN=localhost,OU=localhost, O=localhost, L=深圳, ST=广东, C=CN"

## 生成公钥

keytool -export -alias yunbo2 -keystore merKey.jks -file yunbo2.cer

9.数据加密

数据加密主要体现在对请求体内的数据进行base64加密或者是其他的加密方式。

10.补充说明

之前搜索了不少文章提到过，请求头或者请求体传输用户名和密码，我个人觉得用户名和密码传输太过频繁并不安全，因此我选择了token，选择了多一步（通过用户名和密码拿到token,再通过token请求对其它业务webservice等）。

四、总结

技术往往有很多相似之处，可以复用和借鉴。之前在研究Apache CXF安全机制的时候，发现并没有那么多的资料可供参考，于是我换了一个思路，Apache CXF框架本质上就是对WebService简化，方便开发人员使用而不用配置一堆东西。我把核心聚焦在webservice安全，然后在发散，就有了这篇文章。
简单的概括一点:
遇到难题不要钻牛角尖，可以尝试换一个思路(发散自己的思维)来解决这个难题。