Apache CXF

1.http://www.ibm.com/developerworks/cn/edu/j-dw-java-cxf.html   CXF简介

 

2.http://www.ibm.com/developerworks/cn/webservices/ws-secure/  ws-security

 

3.http://wiki.springside.org.cn/display/calvin/CXF?decorator=printable   入门

 

 

4.http://blog.sina.com.cn/s/blog_5443f53b0100053e.html     用户名/密码验证

 

WS-Security 提供了无限多种方法来验证用户。规范中说明了其中的三种方法：

    1、用户名/密码
    2、通过 X.509 证书的 PKI
    3、Kerberos

1.用户名/密码

用于传递调用方凭据的最常见方法之一是使用用户名和密码。这是一项用于 HTTP 基本身份验证和简要身份验证的技术。实际上，如果您熟悉 HTTP 简要身份验证的工作原理，就可以灵活地运用这一身份验证机制。

    为了以此方式传递用户凭据，WS-Security 定义了 UsernameToken 元素。

<wsse:UsernameToken>
    <wsse:Username>scott</wsse:Username>
    <wsse:Password Type="wsse:PasswordText">password</wsse:Password>
</wsse:UsernameToken>

    以上是以纯文本格式发送的密码示例。该解决方案看上去很容易遭到破坏。如果希望以更安全的方式发送密码，可以发送它的简要散列。

<wsse:UsernameToken>
    <wsse:Username>scott</wsse:Username>
    <wsse:Password Type="wsse:PasswordDigest">
        KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsse:Password>
    <wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
    <wsu:Created xmlns:wsu=
        " http://schemas.xmlsoap.org/ws/2002/07/utility">
            2002-08-19T00:44:02Z
    </wsu:Created>
</wsse:UsernameToken>

    使用 SHA1 散列会使密码变得不易识别，因而可以增加安全性。密码简要散列是随机内容、创建时间与密码的组合。随机内容的长度是 16 字节，以 base64 编码值的形式传递。其工作原理是客户端使用所有这些信息加上密码来创建密码散列。 接收方通过获取其中的密码并再次创建散列来验证此数据。如果结果一致，则表明密码正确。但这种保护方式不能防范重复攻击。如果使用这种保护方式，请确保包括一个 wsu:Timestamp 标头，其中包含一个足够小的时间窗口，用以提供创建时间值和过期时间值。然后，对消息中的 wsu:Timestamp 元素进行签名，以便可以检测到对时间戳的任何篡改。否则，攻击者可能使用完整的 UsernameToken 攻击您的 Web 服务。为防范重复攻击，您还需要包含一个机制，用于跟踪传入消息的某个唯一特性。这种机制需要将此特性保存到缓存中，并且至少持续到消息超时。

4.运行服务端和客户端日志的解释:

2010-7-9 8:58:48 org.apache.cxf.interceptor.LoggingOutInterceptor$LoggingCallback onClose
信息: Outbound Message
---------------------------
ID: 1
Address: http://localhost:9000/SoapContext/GreeterPort
Encoding: UTF-8
Content-Type: text/xml
Headers: {SOAPAction=[""], Connection=[Keep-Alive], Accept=[*/*]}
Payload: <soap:Envelope>  <soap:Envelope>
--------------------------------------

Inbound Message 输出的是服务器端接收到的SOAP信息

Outbound Message 输出的服务器端响应的SOAP信息

Headers: 它前面是SOAP消息的标识、编码方式、MIME类型，{}是消息报头

Payload: SOAP消息的真正内容，如果你的某些注解的header=true,那么它将被放到<soap:Header>中传输，而不是SOAP消息正文。

UTPasswordCallback.java:

你会发现Digest密文密码情况下，UTPasswordCallback的 password属性((WSPasswordCallback)callbacks[i].getPassword())为null,你能获得用户名(identifier),一般这里的逻辑是使用这个用户名到数据库中查询密码，然后再设置到password属性， WSS4J会自动比较客户端传来的值和你设置的这个值。你可能会问为什么这里CXF不把客户端提交的密码传入让我们在ServerPasswordCallbackHandler中比较呢？如果我们要在回调方法中作比较，那么第一步要做的就是把服务端准备好的密码加密为Md5字符串，由于Md5算法参数不同结果也会有差别，另外，这样的工作CXF替我们完成不是更简单吗？