1?前言

在NC环境中发布WS服务以及创建SEI（service?endpoint?interface）最便捷的方式就是使用NC?Eclipse插件的相关功能。使用前需要手动安装NC?WebService?Eclipse插件：nc.uap.mde.wstools_1.0.0.jar。以下描述的发布过程假设该插件已成功安装且java工程为NC?Module?Project工程。

2?发布服务

在NC中发布WS服务可简单描述如下：

n?由Java接口创建WSDL文件。

n?如果Java接口中引用了自定义的Java类，需要创建相应的XSD文件。

n?在模块下的UPM文件中配置WS服务。

n?如果需要WS安全方面的考虑还需要配置ws-security.xml文件，及相关的证书管理配置。

注意：使用NC的Eclipse插件配置UPM文件的过程中，可以自动创建WSDL文件和XSD文件。这样比单独创建WSDL/XSD文件便捷。

2.1?创建WSDL文件

n?在Eclipse?IDE中选中要发布为WS服务的接口文件，点击右键弹出功能菜单。选择WS?Tools下的Genarate?WSDL菜单项，如图：

n?选择后弹出WSDL创建面板，设置WSDL文件的保存路径。

??勾选Cascade复选框：表示如果该接口引用到了其它的自定义Java类，则一并生成相应的XSD文件。

??勾选force复选框：表示如果该路径下已存在同名的WSDL文件，则覆盖。

如图：

n?点击“Finish”按钮完成WSDL文件的创建工作。

2.2?创建XSD文件

关联类的XSD文件即可以在1.1创建WSDL文件的过程中级联创建，也可以单独创建。过程如下：

n?在Eclipse?IDE中选中准备创建XSD的Java类文件，点击右键弹出功能菜单。选择WS?Tools下的Genarate?XSD菜单项，如图：?

n?选择后弹出XSD创建面板，设置XSD文件的保存路径。

??勾选Cascade复选框：表示如果该类引用到了其它的自定义Java类，则一并生成相应的XSD文件。

??勾选force复选框：表示如果该路径下已存在同名的XSD文件，则覆盖。如图：

?

n?点击“Finish”按钮完成XSD文件的创建工作。

2.3?配置UPM文件

配置UPM文件的工作量并不大，可手工也可使用NC?工具。下面对使用NC?工具配置的流程加以描述，其中涉及到NC?WebService?Security方面的规范知识可参考《WebService安全配置》文档。

n?在Eclipse?IDE中选中要发布为WS服务的接口文件或实现类，点击右键弹出功能菜单。选择WS?Tools下的Publish?Web?Service菜单项后弹出UPM文件选择窗口，如图：

n?点击“Next”后进入如下配置页，最下面的interface，impl是两个必填项。指明要发布为ws服务的接口和实现类。“设置属性”栏中的各项属性是NC组件正常发布所需要的配置项，这里不做介绍，可参考组件发布的相关文档。需要指出的是如果配置了组件名则这个组件名就是WS的服务名，否则系统会将下页配置的Address做为WS的服务名。

n?点击“Next”后进入如下配置页。

ExtensionClass：指定了Server启动时部署这个组件的处理类。

Web?Service?Style：暂时只能选NC?specify。

如果勾选了“Create?WSDL?if?not?exist”项，则当未创建wsdl?、xsd文件时会自动创建。

Wsdl?location：指出wsdl?文件的位置。

Address：是WS服务地址，结构为“/”+服务名。

Interceptor：拦截器。

n?点击“Next”进入WebService?安全配置项。

勾选web?service?安全配置项。

选择KeyStore，从modules/uapws/config/ws-security.xml中选择。默认的是该文件中crypto?id为default的KeyStore。

decKS：解密需要的KeyStore。

encKS：加密需要的KeyStore。

signKS：签名需要的KeyStore。

verifyKS：验证签名需要的KeyStore。

n?点击“Next”，进入WebService安全详细信息配置页。

??配置Protect项。如果在上一页的安全配置项中勾选了“要求认证授权”，则在当前的详细信息配置页中需要配置Protect项。如图：

认证组件：如果没有配置，表示使用系统默认的认证器。他为对nc.uap.ws.security.IAuthenticator组件的引用。默认为名称为nc.uap.ws.security.IAuthenticator的组件。

授权组件：如果没有配置，表示使用系统默认的权限机制，他为对nc.uap.ws.security.IAccessController的组件的引用，默认为名称nc.uap.ws.security.IAccessController的组件。

??配置UserToken项。如果在上一页的安全配置项中勾选了“要求输出token”，则在当前的详细信息配置页中需要配置UserToken项。如图：

在profile下拉框中点选“UsernameProfile”后出现如下配置页。

配置在信息输出时提供给别人的主体信息，profile表示遵循的SecurityToken规范，目前只支持UsernameProfile。对于UsernameToken的profile，有属性：user,?password,?cbClass,?cbRef。如果指定了user/password就不需要cbClass,cbRef的配置。user/password表示一种静态的用户名/密码信息提供，而cbClass,cbRef表示一种动态的复杂的用户名密码提供方式。cbClass为javax.security.auth.callback.CallbackHandler的类，cbRef为javax.security.auth.callback.CallbackHandler组件的引用（该描述适合后续的sign,encrypt的描述。

??配置Signature项。如果在上一页的安全配置项中勾选了“要求输出签名”，则在当前的详细信息配置页中需要配置Signature项。如图：

签名确认：勾选此项表示在应答时需要返回请求方的signature，否则不返回请求方的signature。

签名用户：从签名对应的KeyStore中选取用于签名的私钥名。

Callback：如果签名用户的获取方式比较复杂不能直接指定而是通过callback方式获取的。则此处需要配置callback项。

Key标识方式：指示签名或加密的key的值应用方式，默认为IssuerSerial。

Canonical：指示正规化算法没有设定，默认为，http://www.w3.org/2001/10/xml-exc-c14n#。

算法：指定Key的算法。可以不选，此时系统会自动判断算法类型。

签名元素：指定需要签名的信息。

??配置verify项。如果在上一页的安全配置项中勾选了“要求输入签名”，则在当前的详细信息配置页中需要配置Verify项。如图：

如果不存在通信双方互为Server的情况（NC的目前应用基本不存在），建议不要勾选Confirm项。

??配置encrypt项。如果在上一页的安全配置项中勾选了“要求输出加密”，则在当前的详细信息配置页中需要配置encrypt项。如图：

??

加密用户：从加密对应的KeyStore中选取用于加密的密钥名。

用户回调类：如果加密用户的获取方式比较复杂不能直接指定而是通过callback方式获取的。则此处需要配置用户回调类。

Key标识方式：指示签名或加密的key的值应用方式，默认为IssuerSerial。

Key加密算法：系统只支持RSA15算法。

算法：加密算法。

加密元素：指定需要加密的信息。

??配置decrypt项。目前没有需要配置的内容。

完成上面的配置后，点击“Finish”按钮，保存配置信息。

3?客户端调用

NC的WebService客户端调用需要有服务接口类，可以利用WSDL文件创建服务接口，WSDL文件可以远程获取。

拥有了服务接口后就可以利用API进行客户端对服务端的访问了。

3.1?创建服务接口

注意：使用NC的Eclipse插件创建JAVA接口的过程中，可以自动创建相关JAVA类文件。这样比单独创建相关JAVA类文件便捷。

3.1.1?创建相关JAVA类文件

n?在Eclipse?IDE中选中要创建JAVA类文件的XSD文件，点击右键弹出功能菜单。选择WS?Tools下的Genarate?Java?Class菜单项，如图：

n?选择后弹出Java类文件创建面板，设置类文件的保存路径。如图：

force复选框表示是否要覆盖该保存路径下的同名文件。

点击“Finish”按钮完成创建工作。

3.1.2?创建JAVA接口

n?在Eclipse?IDE中选中要创建SEI的WSDL文件，点击右键弹出功能菜单。选择WS?Tools下的Genarate?Java?Interface菜单项，如图：

n?选择后弹出SEI创建面板，设置SEI文件的保存路径。如图：

cascade复选框：表示是否级联创建相关的Java类文件。

force复选框：表示是否要覆盖该保存路径下的同名文件。

点击“Finish”按钮完成创建工作。

3.2?API使用

可以通过API进行安全特性的配置和控制:

3.2.1?WSS4JConfig

配置的核心类，所有安全属性的配置信息都在里面。每个属性都有get/set方法。现逐一介绍其属性的含义。

??encCryptoId：在NC的WebService安全配置文件中，Crypto标签描述了KeyStore的访问信息。CryptoId是Crypto?的唯一标识。encCryptoId标识的Crypto描述了用于加密信息所使用的Key的访问信息。

??decCryptoId：用于解密的Crypto。

??signCryptoId：用于签名的Crypto。

??verifyCryptoId：用于验证签名的Crypto。

??securityToken：安全令牌，类型是SecurityToken，?NC目前只支持UsernameToken。

??sign:类型是SignAdvice，描述了签名信息。

??verify：类型是VerifyAdvice，描述了验证签名的信息。

??encrypt：类型是EnryptAdvice，描述了加密的信息。

??decrypt：类型是DecryptAdvice，描述了解密的信息。

??authentication：类型是Authentication，描述了认证信息。

3.2.2?UsernameToken

用于配置进行请求的主体，其属性描述如下：

??user：用户名。

??password：密码。

??nonce：布尔型，是否附带随机数。

??created：布尔型，是否附带Token创建时间。

??callbackHandler：类型是CallbackHandler，获取密码的回调处理类。

??pwType：类型是PwType，密码的类型，包括三种：

ü?PasswordNone：没有密码。

ü?PasswordText：密码是明文形式。

ü?PasswordDigest：密码是摘要形式。

3.2.3?Cryptic

该类是SignAdvice、EncryptAdvice的超类。其属性描述如下：

??user：用户名，用来进行私钥签名的key的标识。

??algorithm：加密算法。

??callbackHandler：类型是CallbackHandler，用来获取密码的回调处理类。

??keyIdentifier：类型是KeyIdentifier，指明Key的获取方式。

??parts：类型是List<String>?加密的部分。

3.2.4?SignAdvice

用于保存签名信息，继承了Cryptic，其属性描述如下：

??confirm：布尔型。应答时，是否需要返回请求方的signature。这个属性适合在服务方配置。

??canonicalAlgorithm：规范算法。

3.2.5?EncryptAdvice

用于保存加密信息，继承了Cryptic，其属性描述如下：

??keyEncryptionAlgorithm：Key加密算法类型。

3.2.6?DecryptAdvice

用于保存解密信息。

暂无任何属性。

3.2.7?VerifyAdvice

用于保存校验信息，其属性描述如下：

??confirm：布尔类型。是否需要验证服务方的应答信息中是否包含自己发送请求的signature。这个属性只适合用在请求方配置。

3.2.8?测试用例

public?class?EmployeeServiceClient?extends?AbstractWSTestCase?{

????protected?String?getPort()?{

????????return?"8080";

????}????

????protected?String?getSecurityConfig()?{

????????return?"nc/uap/ws/test/ws-security.xml";

}

//只认证

????public?void?testInsertUT()?{

????????EmployeeService?client?=?getLocator().lookup(EmployeeService.class);

????????Department?dept?=?new?Department();

????????Employee?e1?=?new?Employee();

????????e1.setName("hgy");

????????e1.setAge(30);

????????Employee?e2?=?new?Employee();

????????e2.setName("hgn");

????????e2.setAge(20);

????????Map<String,?String>?f?=?new?HashMap<String,?String>();

????????f.put("aaa",?"f-aaa");

????????f.put("bbb",?"f-bbb");

????????dept.setFeature(f);????????

????//设置用户名密码

????????WSS4JConfig?wss4jContext?=?new?WSS4JConfig();

????????wss4jContext.setSecurityToken(new?UsernameToken("admin",?"uapws"));

????????((Client)?client).setWSS4JConfig(wss4jContext);

????????Department?obj?=?client.insert(new?Employee[]?{?e1,?e2?},?dept);

????????assertTrue(obj.getEmployees().length?==?2);

????????assertTrue(obj.getEmployees()[0].getName().equals("hgy"));

????????assertTrue(obj.getEmployees()[0].getAge()?==?30);

????????assertTrue(obj.getFeature().size()?==?2);

????????assertTrue(obj.getFeature().get("aaa").equals("f-aaa"));

????}

//进行签名的安全示例

????public?void?testInsertSign()?{?????

????????WSS4JConfig?wss4jContext?=?new?WSS4JConfig();

????????wss4jContext.setSecurityToken(new?UsernameToken("admin",?"uapws"));

???//默认采用了UsernameToke中的用户名密码信息访问私钥签名

????????wss4jContext.setSignAdvice(new?SignAdvice());

???????((Client)?client).setWSS4JConfig(wss4jContext);????…

????}

????//加密

????public?void?testInsertEnc()?{?????…

???????//设置用于加密的信息

????????WSS4JConfig?wss4jContext?=?new?WSS4JConfig();

????????wss4jContext.setSecurityToken(new?UsernameToken("admin",?"uapws"));

????????wss4jContext.setEncryptAdvice(new?EncryptAdvice("uapws"));

????????((Client)?client).setWSS4JConfig(wss4jContext);…

????}

//同事签名加密

????public?void?testInsertSignEnc()?{????…

??????WSS4JConfig?wss4jContext?=?new?WSS4JConfig();

????????wss4jContext.setSecurityToken(new?UsernameToken("admin",?"uapws"));

????????wss4jContext.setSignAdvice(new?SignAdvice());

????????wss4jContext.setEncryptAdvice(new?EncryptAdvice("uapws"));…

????}

}

而后台服务会根据配置，自适应的签名/加密或者强制加密签名。