Вопрос

Я пытаюсь разработать автономный клиент веб-службы Java с помощью JAX-WS (Metro), который использует WS-Security с аутентификацией токена имени пользователя (дайджест пароля, одноразовые номера и метка времени) и проверку метки времени вместе с WS-адресацией через SSL.

WSDL, с которым мне приходится работать, не определяет никакой информации о политике безопасности.Мне не удалось точно понять, как добавить эту информацию заголовка (правильный способ сделать это), когда WSDL не содержит этой информации.Большинство примеров использования Metro, которые я нашел, связаны с использованием Netbeans для автоматической генерации этого из WSDL, что мне совсем не помогает.Я изучил WSIT, XWSS и т. д.без особой ясности и направления.JBoss WS Metro тоже выглядел многообещающим, но и здесь ему не повезло.

У кого-нибудь есть опыт или есть предложения о том, как выполнить эту задачу?Даже указание мне в правильном направлении было бы полезно.Я не ограничен какой-то конкретной технологией, кроме того, что она должна быть основана на Java.

Это было полезно?

Решение

В конце концов я разобрался с этой проблемой, но пошел в другом направлении.Моим решением было использовать CXF 2.1 и его реализацию JAX-WS, объединив возможности CXF с существующей инфраструктурой Spring, которая у меня уже была.Сначала я был настроен скептически из-за большого количества jar-файлов, необходимых для CXF, но в конце концов он предоставил лучшее и простое решение.

Адаптация примера из Веб-сайт CXF для настройки клиента, Я использовал специальное пространство имен CXF JAXWS в Spring и использовал Out Interceptor для аутентификации токена имени пользователя (дайджест пароля, nonce и временная метка) и проверки временной метки.Единственным дополнительным шагом для выполнения этой задачи было создание собственного обработчика обратного вызова пароля, который выполняется для каждого исходящего запроса SOAP.

Для настройки SSL я снова обратился к CXF и его поддержка SSL через каналы, хотя я никогда не мог заставить SSL работать с определенным именем http:conduit, мне пришлось использовать имя общего назначения, которое не рекомендуется для производственных сред.

Ниже приведен пример моего файла конфигурации.

Конфигурационный файл Spring

<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:jaxws="http://cxf.apache.org/jaxws"
    xmlns:sec="http://cxf.apache.org/configuration/security"
    xmlns:http="http://cxf.apache.org/transports/http/configuration"
    xmlns:context="http://www.springframework.org/schema/context"
    xmlns:cxf="http://cxf.apache.org/core"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
    http://cxf.apache.org/configuration/security http://cxf.apache.org/schemas/configuration/security.xsd
    http://cxf.apache.org/transports/http/configuration http://cxf.apache.org/schemas/configuration/http-conf.xsd
    http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-2.5.xsd
    http://cxf.apache.org/jaxws http://cxf.apache.org/schemas/jaxws.xsd
    http://cxf.apache.org/core http://cxf.apache.org/schemas/core.xsd">

    <context:property-placeholder location="meta/my.properties" />
    <context:component-scan base-package="com.foo" />

    <import resource="remoting.xml" />
    <jaxws:client id="myWebService" address="${my.endpointAddress}"
                  serviceClass="com.foo.my.ServicePortType">

<!-- Testing only, adds logging of entire message in and out -->
<jaxws:outInterceptors>
    <ref bean="TimestampUsernameToken_Request" />
    <ref bean="logOutbound" />
</jaxws:outInterceptors>
<jaxws:inInterceptors>
        <ref bean="logInbound" />
    </jaxws:inInterceptors>
    <jaxws:inFaultInterceptors>
        <ref bean="logOutbound" />
    </jaxws:inFaultInterceptors>

<!-- Production settings -->
<!--
    <jaxws:outInterceptors> <ref bean="TimestampUsernameToken_Request" />
    </jaxws:outInterceptors>
    -->
</jaxws:client >



<!--
    CXF Interceptors for Inbound and Outbound messages
    Used for logging and adding Username token / Timestamp Security Header to SOAP message
-->
<bean id="logInbound" class="org.apache.cxf.interceptor.LoggingInInterceptor" />
<bean id="logOutbound" class="org.apache.cxf.interceptor.LoggingOutInterceptor" />

<bean id="TimestampUsernameToken_Request" class="org.apache.cxf.ws.security.wss4j.WSS4JOutInterceptor">
    <constructor-arg>
        <map>
            <entry key="action" value="UsernameToken Timestamp" />
            <entry key="user" value="${my.group}.${my.userId}" />
            <entry key="passwordType" value="PasswordDigest" />
            <entry key="passwordCallbackClass" value="com.foo.my.ClientPasswordHandler" />
        </map>
    </constructor-arg>
</bean>

<!--
    http:conduit namespace is used to configure SSL using keystores, etc
    *.http-conduit works but CXF says its only supposed to be for temporary use (not production),
    well until the correct way works, we're going to use it.
-->
<http:conduit name="*.http-conduit">
    <http:tlsClientParameters   
                  secureSocketProtocol="SSL">
                  <!--
          <sec:trustManagers>
        <sec:keyStore type="JKS"
                         password="${my.truststore.password}"
                         file="${my.truststore.file}" />
                  </sec:trustManagers>
                  -->
                  <sec:keyManagers keyPassword="${my.keystore.password}">
                    <sec:keyStore type="JKS"
                         password="${my.keystore.password}"
                         file="${my.keystore.file}" />
                  </sec:keyManagers>

                  <!-- Cipher suites filters specify the cipher suite to allow/disallow in SSL communcation  -->
                  <sec:cipherSuitesFilter>
                    <sec:include>.*_WITH_3DES_.*</sec:include>
                    <sec:include>.*_EXPORT_.*</sec:include>
                    <sec:include>.*_EXPORT1024_.*</sec:include
                    <sec:include>.*_WITH_DES_.*</sec:include
                    <sec:exclude>.*_WITH_NULL_.*</sec:exclude
                    <sec:exclude>.*_DH_anon_.*</sec:exclude>
                  </sec:cipherSuitesFilter>
    </http:tlsClientParameters>
</http:conduit>
</beans>

Обработчик паролей клиента Java:

import java.io.IOException;

import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;

import org.apache.log4j.Logger;
import org.apache.ws.security.WSPasswordCallback;


/**
 * <p>
 * Provides a callback handler for use processing outbound/inbound SOAP messages.
 * ClientPasswordHandler sets the password used in the WS-Security UsernameToken 
 * SOAP header.
 * 
 * </p>
 * 
 * Created: Apr 1, 2009
 * @author Jared Knipp
 * 
 */
public final class ClientPasswordHandler implements CallbackHandler {
    protected static Logger log = Logger.getLogger(ClientPasswordHandler.class);

    private static final PropertyManager PROPS = PropertyManager.getInstance();
    private static String PASSWORD = PROPS.getPassword();
    private static boolean IS_PASSWORD_CLEAR = PROPS.getIsClearPassword();

    /**
     * Client password handler call back.  This method is used to provide
     * additional outbound (or could be inbound also) message processing.
     * 
     * Here the method sets the password used in the UsernameToken SOAP security header
     * element in the SOAP header of the outbound message.  For our purposes the clear 
     * text password is SHA1 hashed first before it is hashed again along with the nonce and 
     * current timestamp in the security header.
     */
    public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
        if(log.isDebugEnabled()) { log.debug("Setting password for UsernameToken"); }
        WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];


        // Check to see if the password is already Hashed via SHA1, if not then hash it first
        if(IS_PASSWORD_CLEAR) {
            synchronized(this) {
                PASSWORD = PasswordDigestUtil.doPasswordDigest(PASSWORD);
                IS_PASSWORD_CLEAR = false;
                PROPS.setIsClearPassword(IS_PASSWORD_CLEAR);
                PROPS.setPassword(PASSWORD);
                PROPS.saveProperties();
            }
        }

        pc.setPassword(PASSWORD);
    }
}

Другие советы

Если информация отсутствует в WSDL, уверены ли вы, что она находится в службе, описанной WSDL?WSDL предназначен для предоставления всей информации, необходимой для описания службы, включая политики безопасности, необходимые для использования службы.

На какой платформе появился WSDL?Возможно ли, что WSDL не является полным описанием?Например, это может быть WSDL, который включатьd в другом WSDL, который делает предоставить информацию о безопасности.

Здесь есть сообщение, объясняющее, как настроить клиент и сервер в CXF с помощью WS-Security: Веб-службы JAX-WS с Spring и CXF

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top