posts - 193,  comments - 520,  trackbacks - 0


在前面的文章中,我们实现了最简单的
AXIS服务。现在我们一起来讨论一下Web服务的安全问题。
根据应用的对安全要求的级别不同,可以采用不同的方式来实现安全性,以下是目前最常用的一些实现方式(从低到高排列):
    1
J2EE Web应用默认的访问控制(数据是明文的); 
    2
、使用axisHandler进行访问控制(数据是明文的); 
    3
、使用Servlet过滤器(Filter)进行访问控制(数据是明文的); 
    4
、使用SSL/HTTPS协议来传输(加密的数据传输协议); 
    5
、使用WS-Security规范对信息进行加密与身份认证(数据被加密传输)。
我们仅讨论第245种实现方式。在此之前我们先来了解一下AXIS自带的一个工具SOAPMonitor
一、SOAPMonitor的使用
  
打开http://localhost:8080/axis/进入AXIS的主页面,你会看见:
   SOAPMonitor-[disabled by default for security reasons] 
,默认状态下其是不可用的,现在我们就来激活它。
   
1
、到目录%TOMCAT_HOME%\webapps\axis下,你会找到SOAPMonitorApplet.java,在命令行中编译它:   


javac -classpath %AXIS_HOME%\lib\axis.jar SOAPMonitorApplet.java
 
   编译完之后你会看见目录下多了很多CLASS文件,它们的名字是SOAPMonitorApplet*.class

2
、在目录%TOMCAT_HOME%\webapps\axis\WEB-INF下打开server-config.wsdd文件,将下面的两部分代码直
   
接加入其中相应的位置
   
第一部分:
 

<
handler name="soapmonitor"   type="java:org.apache.axis.handlers.SOAPMonitorHandler">
        
<parameter name="wsdlURL"   value="/axis/SOAPMonitorService-impl.wsdl"/>
        
<parameter name="namespace"   value="http://tempuri.org/wsdl/2001/12/SOAPMonitorService-impl.wsdl"/>
        
<parameter name="serviceName" value="SOAPMonitorService"/>
        
<parameter name="portName" value="Demo"/>
      
</handler>
    
   
第二部分:
    
 
<service name="SOAPMonitorService" provider="java:RPC">
        
<parameter name="allowedMethods" value="publishMessage"/>
        
<parameter name="className"   value="org.apache.axis.monitor.SOAPMonitorService"/>
        
<parameter name="scope" value="Application"/>
      
</service>


3
、选择你要监控的服务
   
以上次的HelloWorld服务为例,在server-config.wsdd中你会找到这段代码
   
<service name="HelloWorld" provider="java:RPC">
       
<parameter name="allowedMethods" value="sayHello"/>
       
<parameter name="className" value="HelloWorld"/>
    
</service>

   
在这段代码中加入以下的代码:
   
<
requestFlow>
      
<handler type="soapmonitor"/>
    
</requestFlow>
    
<responseFlow>
      
<handler type="soapmonitor"/>
    
</responseFlow>

   
最后的样子是:
   
<service name="HelloWorld" provider="java:RPC">
    
<requestFlow>
      
<handler type="soapmonitor"/>
    
</requestFlow>
    
<responseFlow>
      
<handler type="soapmonitor"/>
    
</responseFlow>
    
<parameter name="allowedMethods" value="sayHello"/>
    
<parameter name="className" value="HelloWorld"/>
    
</service>

   
这样HelloWorld服务就被监控了
   
4
、启动Tomcat,打开http://localhost:8080/axis/SOAPMonitor,你就会看到Applet界面,在
   jbuilder2005
中运行我们上次写的客户端程序 TestClient.javaOK!你会在Applet界面看
   
见客户端与服务器端互发的XML内容,注意这里是明文!
   
二、使用axisHandler进行访问控制(对安全要求不高时推荐)
   axis
Web服务的访问控制提供了相关的配置描述符,并且提供了一个访问控制的简单  Handler。默认情况下,你只要在配置描述符中添加用户,然后在Web服务器的部署描述符中自动允许的角色即可。

1
、在axis的配置文件users.lst(位于WEB-INF目录下)中添加一个用户,如"ronghao1111",表示
   
用户名为ronghao,密码为1111
   
2
、把例HelloWorldWeb服务重新部署(新加的部分已标出)
   
<service name="HelloWorld" provider="java:RPC">
    
<requestFlow>
      
<handler type="soapmonitor"/>
      
<handler type="Authenticate"/>  //新加的AXIS自带的Handler
    </requestFlow>
    
<responseFlow>
      
<handler type="soapmonitor"/>
    
</responseFlow>
    
<parameter name="allowedMethods" value="sayHello"/>
    
<parameter name="allowedRoles" value="ronghao"/>    //注意,这里是新加的部分!
    <parameter name="className" value="HelloWorld"/>
   
</service>

  
在这个部署描述符中,指定HelloWorld服务只能被ronghao访问
   
3
、修改客户端程序 TestClient.java,增加访问用户名、密码(新加的部分已标出)
  
TestClient.java

import org.apache.axis.client.Call;
import org.apache.axis.client.Service;
import javax.xml.rpc.ParameterMode;

public class TestClient
{
   
public static void main(String [] args) throws Exception {
   String endpoint 
= "http://localhost:" +"8080"+ "/axis/HelloWorld";

       Service  service 
= new Service();  
       Call     call    
= (Call) service.createCall();
       call.getMessageContext().setUsername(
"ronghao");//  用户名。
       call.getMessageContext().setPassword("1111");//   密码
     call.setTargetEndpointAddress( new java.net.URL(endpoint) );

     call.setOperationName( 
"sayHello" );
     String res 
= (String) call.invoke( new Object[] {} );

     System.out.println( res );
   }
}

  
执行TestClient,能够顺利访问Web服务;如果修改用户名或者密码,那么就不能访问 。同样,
  
你在http://localhost:8080/axis/SOAPMonitor中看到的请求和响应的XML是明文!
  
三、使用SSL/HTTPS协议来传输
    Web
服务也可以使用SSL作为传输协议。虽然JAX-RPC并没有强制规定是否使用SSL协议,但在tomcat 下使用HTTPS协议。
1
、使用JDK自带的工具创建密匙库和信任库。

  1
)通过使用以下的命令来创建服务器端的密匙库:
 
 keytool 
-genkey -alias Server -keystore server.keystore -keyalg RSA
  输入keystore密码:  changeit
  您的名字与姓氏是什么?
  [Unknown]:  Server
  您的组织单位名称是什么?
  [Unknown]:  ec
  您的组织名称是什么?
  [Unknown]:  ec
  您所在的城市或区域名称是什么?
  [Unknown]:  beijing
  您所在的州或省份名称是什么?
  [Unknown]:  beijing
  该单位的两字母国家代码是什么
  [Unknown]:  CN
CN
=Server, OU=ec, O=ec, L=beijing, ST=beijing, C=CN 正确吗?
  [否]:  y

输入
<Server>的主密码
        (如果和 keystore 密码相同,按回车):

   
以上命令执行完成后,将获得一个名为server.keystore的密匙库。
   
  2)
生成客户端的信任库。首先输出RSA证书:
 

keytool 
-export -alias Server -file test_axis.cer -storepass changeit -keystore server.keystore

  
然后把RSA证书输入到一个新的信任库文件中。这个信任库被客户端使用,被用来验证服务器端的身份。
 

keytool 
-import -file test_axis.cer -storepass changeit -keystore client.truststore -alias serverkey -noprompt

  
以上命令执行完成后,将获得一个名为client.truststore的信任库。
  
  3
)同理生成客户端的密匙库client.keystore和服务器端的信任库server.truststore.方便起见给出.bat文件
     gen-cer-store.bat
内容如下:
    
     set SERVER_DN
="CN=Server, OU=ec, O=ec, L=BEIJINGC, S=BEIJING, C=CN"
     set CLIENT_DN
="CN=Client, OU=ec, O=ec, L=BEIJING, S=BEIJING, C=CN"
     set KS_PASS
=-storepass changeit
     set KEYINFO
=-keyalg RSA

     keytool 
-genkey -alias Server -dname %SERVER_DN% %KS_PASS% -keystore server.keystore %KEYINFO% -keypass changeit
     keytool 
-export -alias Server -file test_axis.cer %KS_PASS% -keystore server.keystore
     keytool 
-import -file test_axis.cer %KS_PASS% -keystore client.truststore -alias serverkey -noprompt

     keytool 
-genkey -alias Client -dname %CLIENT_DN% %KS_PASS% -keystore client.keystore %KEYINFO% -keypass changeit
     keytool 
-export -alias Client -file test_axis.cer %KS_PASS% -keystore client.keystore
     keytool 
-import -file test_axis.cer %KS_PASS% -keystore server.truststore -alias clientkey -noprompt

     
  
好的,现在我们就有了四个文件:server.keystoreserver.truststoreclient.keystoreclient.truststore
  
2
、更改Tomcat的配置文件(server.xml),增加以下部署描述符:(其实里面有,只是被注释掉了)
     
<
Connector port="8440" 
               maxThreads
="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups
="false" disableUploadTimeout="true"
               acceptCount
="100" scheme="https" secure="true"
               clientAuth
="true" keystoreFile="f:\server.keystore" keystorePass="changeit"
                 truststoreFile
="f:\server.truststore" truststorePass="changeit"
               sslProtocol
="TLS" />


3
、把HelloWorld重新部署一次,在server-config.wsdd中修改如下部署代码。(还原了而已)
   
<
service name="HelloWorld" provider="java:RPC">
    
<requestFlow>
      
<handler type="soapmonitor"/>
    
</requestFlow>
    
<responseFlow>
      
<handler type="soapmonitor"/>
    
</responseFlow>
    
<parameter name="allowedMethods" value="sayHello"/>
    
<parameter name="className" value="HelloWorld"/>
    
</service>

    
4
、修改客户端程序 TestClient.java(修改的部分已标出)


public
 class TestClient
{
   
public static void main(String [] args) throws Exception {
   String endpoint 
= "https://localhost:" +"8440"+ "/axis/HelloWorld";//注意区别在这里!https!

       Service  service 
= new Service();  
       Call     call    
= (Call) service.createCall();
     call.setTargetEndpointAddress( 
new java.net.URL(endpoint) );

     call.setOperationName( 
"sayHello" );
     String res 
= (String) call.invoke( new Object[] {} );

     System.out.println( res );
   }
}


5
、最后使用命令来执行客户端程序

java 
-cp %AXISCLASSPATH%
     
-Djavax.net.ssl.keyStore=client.keystore 
     
-Djavax.net.ssl.keyStorePassword=changeit 
     
-Djavax.net.ssl.trustStore=client.truststore 
     TestClient



http://www.blogjava.net/ronghao 荣浩原创,转载请注明出处:)
posted on 2007-06-12 16:10 ronghao 阅读(3705) 评论(4)  编辑  收藏 所属分类: SOA、BPM

FeedBack:
# re: 建立安全的AXIS服务(上)
2007-06-14 00:09 | IT进行时
写的不错,清晰  回复  更多评论
  
# re: 建立安全的AXIS服务(上)
2008-06-02 17:08 | isle_t
5、最后使用命令来执行客户端程序

这一步中的%AXISCLASSPATH%是指什么,能说得详细点吗,有点搞不懂  回复  更多评论
  
# re: 建立安全的AXIS服务(上)[未登录]
2012-08-03 15:32 | 蝈蝈
楼主你好:
我尝试你的方法结果在:
二、使用axis的Handler进行访问控制(对安全要求不高时推荐) 加了用户验证后客户端访问会报错:
xisFault
faultCode: {http://schemas.xmlsoap.org/soap/envelope/}Server.userException
fault