java在应用程序级别实现WSSecurity
我正在尝试基于JAX-WS(使用JBoss AS 7.1.1)构建一个soap服务,我还需要实现安全性。数据将是敏感的,因此将通过HTTPS传输。但是,我需要确定客户的身份,并确保只有他们才能为其组织执行操作
从外观上看,我在JBoss文档(以及其他JAX-WS提供者文档)上看到的所有内容都表明,多个。xml文件需要编辑(有些在应用服务器层)
我真的在寻找一种方法,在我的服务中使用SOAP头调用一个类,然后在那里执行验证/身份验证/授权。如果有人能给我指出正确的方向,我将不胜感激
# 1 楼答案
您始终可以将身份验证数据与请求一起显式发送(例如,除了正常参数之外,还可以发送用户和密码)。你必须确保连接是加密的
您可以通过使用公钥/私钥来完善这一点:因此,首先服务器发送其公钥,客户端使用该公钥加密用户/密码,服务器可以使用其私钥解密。由于这在请求的基础上可能过于昂贵,服务器可以在一定时间内发出令牌,客户端可以在以下请求中发送该令牌(因此令牌是建立会话)
话虽如此,我知道JBoss安全设置有时有多么麻烦,你必须非常小心地实现和测试它,否则,您可能会打开一些安全漏洞(令牌可能泄漏,会话可能被捕获,令牌失效,SSL连接在web服务器中终止,明文密码保留在RAM中,并在磁盘上分页等)