XFire在1.1中已经支持ws-security了。XFire通过wss4j提供ws-security支持。
1.环境准备
前提条件要安装Unlimited Strength Jurisdiction Policy(可以在http://java.sun.com/j2se/1.5.0/download.jsp
或http://java.sun.com/j2se/1.4.2/download.html下载)和Bouncy Castle(来自http://BouncyCastle.org)。否则会出现无效算法(algorithm)或Key大小(Key Size)
为了能支持WS-Security必须添加两个Handler:inhandlers、outhandlers。
以下必须添加到inHandlers
1、org.codehaus.xfire.security.wss4j.WSS4JInHandler:执行WS-Security相关的函数;
2、 org.codehaus.xfire.util.dom.DOMInHandler:为WS-Security从StAX 转换成DOM格式。
注:DOMInHandler必须引入Xalan 2.7.1,XFire默认没有引入。
下载地址:http://xml.apache.org/xalan-j/downloads.html(包含多个jar包,可能都需要引入工程)
以下添加到outHandlers:
1、org.codehaus.xfire.security.wss4j.WSS4JOutHandler:执行WS-Security相关的函数;
2、org.codehaus.xfire.util.dom.DOMOutHandler:为WS-Security从StAX 转换成DOM格式。
2.安装文件
2.1.安装Java策略文件
策略文件被JDK使用,用以控制加密的强度和算法。确认已经安装对应JDK 版本的Unlimited Strength Jurisdiction策略文件,这是一个无限制的安全控制文件。你可以从http: //java.sun.com/j2se//download.jsp
或 http://java.sun.com/j2se/1.4.2/download.html页面的底部找到下载的链接。否则在使用WS- Security时,可以会抛出java.security.InvalidKeyException: Illegal key size的错误信息。
策略文件包括local_policy.jar和US_export_policy.jar文件,将其拷贝到<JAVA_HOME>/jre/lib/security目录下。
2.2.安装SecurityProvider
WSS4J使用了BouncyCastle的SecurityProvider,所以需要事先在java.security文件中进行配置,否则运 行加密模式的XFire认证时,会抛出以下的出错信息:org.apache.ws.security.WSSecurityException: An unsupported signature or encryption algorithm was used unsupported key
在java.security文件中(位于<JAVA_HOME>/jre/lib/security目录中)添加BouncyCastleProvider的配置:
…
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=com.sun.net.ssl.internal.ssl.Provider
security.provider.4=com.sun.crypto.provider.SunJCE
security.provider.5=sun.security.jgss.SunProvider
security.provider.6=com.sun.security.sasl.Provider
security.provider.7=org.bouncycastle.jce.provider.BouncyCastleProvider
…
XFire发布包中包含了BouncyCastle SecurityProvider的类包,位于<XFIRE_HOME> /lib/bcprov-jdk15-133.jar下。必须将bcprov-jdk15-133.jar加入到类路径中。
3.创建密钥对和数字证书
签名和加密需要使用到数字证书和密钥对,可以使用JDK提供的KeyTool工具创建密钥对和数字证书。我们分别为服务端和客户端创建RSA密钥 对,并生成各自的X509数字证书(包含公钥和数字签名)。服务端和客户端拥有各自的密钥库JKS文件,服务端的密钥库保存服务端的密钥对和客户端的数字 证书,而客户端的密钥库保存客户端的密钥对和服务端的数字证书。
下面,我们来完成创建服务端和客户端密钥库的工作:
编写一个用于创建RSA密钥对和generateKeyPair.bat批处理文件:
rem @echo off
#接受参数
echo alias %1
echo keypass %2
echo keystoreName %3
echo KeyStorePass %4
echo keyName %5
①创建RSA密钥对
keytool -genkey -alias %1 -keypass %2 -keystore %3 -storepass %4-dname "cn=%1" -keyalg RSA
keytool -selfcert -alias %1 -keystore %3 -storepass %4 -keypass %2
②使用私钥进行自签名
keytool -export -alias %1 -file %5 -keystore %3 -storepass %4
③导出数字证书
编写一个使用generateKeyPair.bat创建服务端和客户端的密钥库的generateKeyStore.bat批处理文件:
①下面两行命名分别调用generateKeyPair.bat批处理文件为服务端和客户端生成密钥对
call generateKeyPair.bat server serverpass serverStore.jks scpass serverKey.rsa
call generateKeyPair.bat client clientpass clientStore.jks scpass clientKey.rsa
②将服务端的数字证书导入客户端的密钥库
keytool -import -alias server -file serverKey.rsa -keystore clientStore.jks -storepass scpass -noprompt
③将客户端的数字证书导入服务端的密钥库
keytool -import -alias client -file clientKey.rsa -keystore serverStore.jks -storepass scpass -noprompt
运行该批处理文件后,将分别为服务端和客户端生成一个Java密钥库文件,它们分别拥有一个自己的密钥对和对方的数字证书。我们通过表1对两者密钥库文件的内容进行说明:
密钥库说明
服务端Java密钥库
客户端Java密钥库
对应密钥库文件
serverStore.jks
clientStore.jks
密钥库密码
scpass
scpass
库中包含的内容
server密钥对、client数字证书
client密钥对、server数字证书
密钥对别名
server
client
密钥对私钥的保护密码
serverpass
clientpass
<!--EndFragment-->