Webservice实现WS-Security（XFire）

关键字：基于XFire实施WS-Security 说明：附件是带有截图的完整文章，很高兴分享给大家。 概述 Web Service是安全的吗？鉴于安全性涉及诸多方面（例如身份验证和授权、数据隐私和完整性等），而 SOAP 规范中根本没有提及安全性这一事实，所以我们不难理解人们为什么认为答案是 否定的。 很少有不需要某种形式的安全性保证的企业级系统。在 Web Service中，处理Web Service安全的过程比处理其他领域应用的安全问题更为复杂，因为Web Service具有分布式、无状态的特性。 WS-Security是解决Web Service安全问题的规范，大多数商业的Java EE应用服务器都实现了WS-Security规范，Apache WSS4J是WS-Security的开源实现，WSS4J通过SOAP中WS-Security相关的 信息对SOAP报文进行验证和签名，XFire通过WSS4J对WS-Security提供了支持。你可以从http://ws.apache.org/wss4j 了解更多关于WSS4J的信息。 认识WS-Security 2002 年 4 月，IBM、Microsoft 和 VeriSign 在他们的 Web 站点上提议建立 Web Services Security (WS-Security)规范。此规范包括安全凭证、XML签名和XML加密的安全性问题。此规范还 定义了用户名凭证和已编码的二进制安全性凭证的格式。 2002 年 6 月，OASIS 从 IBM、Microsoft 和 Verisign 接收到了提议的WS-Security安全性规范。不久之后就在 OASIS 成立了“Web Service 安全性技术委员会”（WSS TC）。 2006年2月15日，OASIS通过了WS-Security 1.1安全规范，1.1规范突出了对安全权标支持、消息附件和权限管理的增强。1.1规范包括WS-Security核心规范及用户名权标规范1.1、 X.509权标 规范1.1、Kerberos权标规范1.1、SAML权标规范1.1、权限表达（REL）权标规范1.1、带附件的SOAP（SWA）规范1.1和模式1.1。 也许读者会提出这样的问题：SSL也具有完整性和机密性，为什么还需要另外一个WS-Security规范呢？之所以要制定WS-Security规范，是SSL存在以下的问题： 端对端的通信，脱离传输层就无法保证安全性； 消息必须全部加密/或者全部签名，而不能针对消息的某部分，没有考虑XML处理。 SSL对应OSI的传输层，前面我们提到过Web Service是和传输层无关的，将安全问题依附在SSL上就违反了Web Serivce与传输层无关的原则。而WS-Security对应于OSI的应用层，建立消息层 SOAP之上。 针对不同领域的细分问题，OASIS 在WS-Security的基础上又制定了几十个规范，其中包括WS-SecureConversation、WS-Federation、 WS-Authorisation、WS-Policy、WS-Trust、WS-Privacy 等，形成了一个庞大Web Service安全性协议家族。 图1 WS-Security所在位置 有了WS-Security规范，用户就拥有在Web Service应用中实施完整性、机密性和身份验证等安全需求的规范方法。 XFire应用WS-Security的总体方案 XFire通过Apache的WSS4J对WS-Security提供支持，XFire完整发布包中包含了WSS4J的类包。我们知道XFire在发送和接收SOAP报文前拥有多个阶段，每个阶段都可以注册Handler，对SOAP报文 进行前置和后置处理的加工操作。XFire即通过 Handler实施WSS4J，当发送SOAP报文时，通过注册一系列OutHandler，对SOAP报文进行加密、签名、添加用户身份信息等后置处理操作。而在接 收SOAP报文时，则通过注册一系列的InHandler对SOAP进行解密、验证签名，用户身份认证等前置操作。 图2 XFire应用WS-Security的方案 请求和响应的SOAP在发送之前可以通过注册的OutHanlder进行加工处理，让SOAP转换为WS-Security的保护格式。而服务端和客户端的接收SOAP 报文之前，可以通过注册的InHandler，将WS- Security格式的SOAP转换正常的SOAP进行处理。 由于XFire在SOAP收发过程中定义了多个不同的生命阶段，所以可以在发送前和接收前完成SOAP报文安全处理的工作，这些操作完全独立于业务处理逻辑，实施WS-Security对于Web Service的 业务操作是透明的。 使用WS-Security 在前面内容中，我们通过各种方式将BbtForum中的方法以BbtForumSerivice窄接口开放为Web Service服务，但个Web Service是没有任何安全性可言的，任何拿到WSDL的人都可以轻松地构造客 户端程序访问我们的Web Service服务。在这节里，我们将解决这个问题，对BbtForumSerivice添加不同的安全功能。 准备工作 在使用XFire的WS-Security之前，必须做一些准备性的工作：包括搭建安全环境，创建密钥对和证书等内容。 使用用户名/密码进行身份认证 对SOAP报文进行身份认证的方式很多，不过都是通过在SOAP报文头中添加一些安全凭证(Security Token)信息来完成的，主要包括以下一些身份凭证： 用户名/密码； X.509 证书； Kerberos 票据和认证者； SIM 卡的移动设备安全性凭证。 其中用户名/密码是最简单的身份认证方式，它不需要密钥、数字证书，所以也就不需要CA，部署实施简单易行。下面我们就通过例子讲解如何进行基于用户名/密码的SOAP认证。这个实例让客 户端提供用户名/密码，服务端验证客户端的身份，而客户端按正常方式接收SOAP响应报文。 服务端 服务端创建一个applicationContext-ws-security.xml，让BbtForumService拥有用户名/密码的认证功能。 代码清单1 applicationContext-ws-security.xml：身份认证 Java代码 <beans>?? ??? <import resource="classpath:org/codehaus/xfire/spring/xfire.xml" />?? ??? <bean id="baseWebService" class="org.codehaus.xfire.spring.remoting.XFireExporter"? ??????? lazy-init="false" abstract="true">?? ??????? <property name="serviceFactory" ref="xfire.serviceFactory" />?? ??????? <property name="xfire" ref="xfire" />?? ??? </bean>?? ??? <bean parent="baseWebService">?? ??????? <property name="serviceBean" ref="bbtForum" />?? ??????? <property name="serviceClass" value="com.baobaotao.xfire.server.BbtForumService" />?? ??????? <property name="name" value="BbtForumServiceUT" />①Web Service名称?? ??????? <property name="inHandlers">?? ??????????? <list>?? ??????????????? <ref bean="domInHandler" />②负责将STAX流模型的SOAP转换为DOM模型?? ??????????????? <ref bean="wss4jInHandler" />③对用户名/密码进行检查?? ??????????? </list>?? ??????? </property>?? ??? </bean>?? ??? <bean id="domInHandler" class="org.codehaus.xfire.util.dom.DOMInHandler" />?? ??? <bean id="wss4jInHandler" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">?? ??????? <property name="properties">?? ??????????? <props>?? ??????????????? <prop key="action">UsernameToken</prop>④指定认证类型?? ??????????????? <prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.UtPasswordHandler</prop>⑤指定一个密码回调实现类?? ??????????? </props>?? ??????? </property>?? ??? </bean>?? ??? <bean id="bbtForum" class="com.baobaotao.service.BbtForum" />?? </beans>? <beans> <import resource="classpath:org/codehaus/xfire/spring/xfire.xml" /> <bean id="baseWebService" class="org.codehaus.xfire.spring.remoting.XFireExporter" lazy-init="false" abstract="true"> <property name="serviceFactory" ref="xfire.serviceFactory" /> <property name="xfire" ref="xfire" /> </bean> <bean parent="baseWebService"> <property name="serviceBean" ref="bbtForum" /> <property name="serviceClass" value="com.baobaotao.xfire.server.BbtForumService" /> <property name="name" value="BbtForumServiceUT" />①Web Service名称 <property name="inHandlers"> <list> <ref bean="domInHandler" />②负责将STAX流模型的SOAP转换为DOM模型 <ref bean="wss4jInHandler" />③对用户名/密码进行检查 </list> </property> </bean> <bean id="domInHandler" class="org.codehaus.xfire.util.dom.DOMInHandler" /> <bean id="wss4jInHandler" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler"> <property name="properties"> <props> <prop key="action">UsernameToken</prop>④指定认证类型 <prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.UtPasswordHandler</prop>⑤指定一个密码回调实现类 </props> </property> </bean> <bean id="bbtForum" class="com.baobaotao.service.BbtForum" /> </beans> ? 对SOAP报文体进行加密 虽然通过数字签名解决了完整性和不可抵赖性的安全问题，但报文体还是以明文的方式进行发送，在传输过程中，报文的内容有可能被监视，保密性得不到保证。 如果报文体中包含了一些敏感的内容，则发送者希望报文的内容能以加密的方式进行传输，防止窥视。通过对SOAP报文体进行加密，即可解决保密性的问题。 客户端使用服务端的公钥对请求SOAP报文进行加密，服务端公钥包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为server，访问服务端数字证书无须密码。服务端需要 使用私钥进行解密，服务端私钥包含在服务端的密钥对中，在serverStore.jks中服务端密钥对的别名为server，访问私钥的密码为serverpass。 在XFire中对SOAP报文体进行加密解密需要解决的主要就是注册相应的Handler，并为其提供相应的访问密钥的信息。 服务端 服务端处理加密的SOAP请求报文前，需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥，所以要进行相应的配置： 代码清单 17 applicationContext-ws-security.xml：报文加密 Java代码 <bean id="wss4jInHandlerEnc" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">?? ??? <property name="properties">?? ??????? <props>?? ??????????? <prop key="action">Encrypt</prop>①加密动作（因为是InHandler所以是解密）②解密操作需要访问保存着server私钥的密钥库，通过属性文件提供相应的配置信息?? ??????????? <prop key="decryptionPropFile">com/baobaotao/xfire/wss4j/server/insecurity_enc.properties</prop>③ 通过密码回调类获得密钥对中私密的访问密码?? ??????????? <prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.PasswordHandler</prop>?? ??????? </props>?? ??? </property>?? </bean>? <bean id="wss4jInHandlerEnc" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler"> <property name="properties"> <props> <prop key="action">Encrypt</prop>①加密动作（因为是InHandler所以是解密）②解密操作需要访问保存着server私钥的密钥库，通过属性文件提供相应的配置信 息 <prop key="decryptionPropFile">com/baobaotao/xfire/wss4j/server/insecurity_enc.properties</prop>③ 通过密码回调类获得密钥对中私密的访问密码 <prop key="passwordCallbackClass">com.baobaotao.xfire.wss4j.server.PasswordHandler</prop> </props> </property> </bean>? 通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息，包括访问密码和密钥库文件的位置，如下所示： Java代码 org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin?? org.apache.ws.security.crypto.merlin.keystore.type=jks?? org.apache.ws.security.crypto.merlin.keystore.password=storepass①密钥库访问密码?? org.apache.ws.security.crypto.merlin.file=META-INF/xfire/serverStore.jks②密钥库文件位置? org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin org.apache.ws.security.crypto.merlin.keystore.type=jks org.apache.ws.security.crypto.merlin.keystore.password=storepass①密钥库访问密码 org.apache.ws.security.crypto.merlin.file=META-INF/xfire/serverStore.jks②密钥库文件位置? 由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息，因此WSS4JInHandler可以获取数字证书对应的用户（即server密钥对的别名）。但访问私钥需要密码，所以还是必 须提供一个密码回调类，以获取server私钥的访问密码，如代码清单17中③所示。 PasswordHandler密码回调类如下所示： 代码清单18 PasswordHandler Java代码 package com.baobaotao.xfire.wss4j.server;?? …?? public class PasswordHandler implements CallbackHandler {?? ??? private static final Map<String,String> pwMockDB = new HashMap<String,String>();?? ??? static{?? ??????? pwMockDB.put("server","serverpass");?? ??? }?? ??? public void handle(Callback[] callbacks) throws WSSecurityException{?? ??????? WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];?? ??????? String id = callback.getIdentifer();?? ??????? callback.setPassword(pwMockDB.get(id));?? ??? }?? }? package com.baobaotao.xfire.wss4j.server; … public class PasswordHandler implements CallbackHandler { private static final Map<String,String>(); static{ pwMockDB.put("server","serverpass"); } public void handle(Callback[] callbacks) throws WSSecurityException{ WSPasswordCallback callback = (WSPasswordCallback) callbacks[0]; String id = callback.getIdentifer(); callback.setPassword(pwMockDB.get(id)); } } 大小: 15.3 KB 大小: 16.7 KB