axis2和wss4j实现webservices加密

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 最近公司要把web services传输内容全加密用到wss4j,于是上网看了篇帖子照着做没有跑通,于是做了下修改,如下:

最近公司要把web services传输内容全加密用到wss4j,于是上网看了篇帖子照着做没有跑通,于是做了下修改,如下:

一、wss4j简介

Wss4j是apache开发的,标准实现WS-Security(WebService安全)的开源项目,它提供了用户名令牌环验证(UsernameToken)和传递消息时保证信息的完整性和真实性等一些WebService安全保障。

二、环境准备

2.1开发环境准备

在正式开始前还要去apche网站下载一个rampart-1.5.mar

把这个东东放到WEB-INF\modules下去

这个东东是在AXIS2上实现WSS4J必需要的一个组件。把wss4j的相关jar包导到lib下。

三、用KEYTOOL生成一对JKS文件

首先我们用keytool生成一对JKS文件, service.jks和client.jks。

service.jks存放了service的私钥和client的公钥。

client.jks存放了client的私钥和service的公钥。

本人生成的

service.jks的私钥和公钥keystore的密码是apache

client.jks的私钥和公钥keystore的密码是apache,

(注如果不会用keytool请自己看相关资料,我用的是apache提供sample的文件)

 

生成方法如下:

C:\Documents and Settings\Administrator>keytool -genkey -keyalg RSA -keysize 512

-dname "cn=service,o=qinan,c=cn" -alias service -keypass administrator -keystor

e d:/keystore/service.jks -storepass qinanehome

C:\Documents and Settings\Administrator>keytool -genkey -keyalg RSA -keysize 512

-dname "cn=client,o=qinan,c=cn" -alias client -keypass administrator -keystore

d:/keystore/client.jks -storepass qinanadminehome

 

 

2.2搭建webservice环境

将axis2.war包拷贝到tomcat安装目录下的webapps目录下。

启动Tomcat(D:\Tomcat5.5\bin\startup.bat),打开浏览器输入并访问:http://127.0.0.1:8080/axis2 来查看,结果如下图,表示axis2已经工作正常。

四、建立web应用

4.1 编写服务器端代码

首先简单介绍我的Wss4j实现WS-Security功能,很简单就是客户端发送一个字符串,服务器端得到该字符串,同时把字符串在发送给客户端,首先自己建立一个web应用工程, 这里就以我的wsc应用工程为例

在src下建一个包com.neusoft.wss4j.rempart.demo.services 在这里写一个类SimpleService作为服务器端

该类的内容是:

package com.neusoft.wss4j.rempart.demo.services;

public class SimpleService

{

   public String echo(String arg)

   {

       return arg;

   }

}

这个类的作用就是接收客户端的字符串,并且把该字符串返回给客户端。

这里还有个类,该类是实现UsernameToken和传送信息的安全性和完整性的核心,该类被配置在axis2.xml和service.xml中,从而能得到用户配置的axis2.xml中的信息,和服务器端配置的service.xml的信息。每当客户端发送请求时,它都要首先通过该类获得访问服务端的权限和获得发送数据所需要的加密密码,然后把数据加密发送给服务器端,如果没有权限则不能把数据发送到服务器端,每当服务器端想要把数据传送到客户端时,也要经过次类获得发送数据所需要的加密密码,然后把数据加密返回给客户端,客户端通过解密获得明文信息。它的内容如下:

package com.neusoft.wss4j.rempart.demo.services;

import org.apache.ws.security.WSPasswordCallback;

import javax.security.auth.callback.Callback;

import javax.security.auth.callback.CallbackHandler;

import javax.security.auth.callback.UnsupportedCallbackException;

import java.io.IOException;

public class PWCBHandler implements CallbackHandler

{

   public void handle(Callback[] callbacks) throws IOException,

           UnsupportedCallbackException

           {

                     for (int i = 0; i < callbacks.length; i++)

                     {

                         WSPasswordCallback pwcb = (WSPasswordCallback)callbacks[i];

                       

                         String id = pwcb.getIdentifer();

                         if("client".equals(id))

                         {

                             pwcb.setPassword("apache");

                         }

                         else if("service".equals(id))

                         {

                             pwcb.setPassword("apache");

                         }

                   else

                   {

                       throw new UnsupportedCallbackException(callbacks[i],

                       "对不起,您不是授权用户,不能访问该WEB服务!");

                   }

                     }

         }

}

 

4.2 编写服务器端的描述文件services.xml

然后写一个解析该服务器类services.xml文件该文件的内容如下:

<?xml version="1.0" encoding="UTF-8"?>

<service name="wsc">

   <operation name="echo">

      <messageReceiver

       class="org.apache.axis2.rpc.receivers.RPCMessageReceiver"/>

   </operation>

   <parameter name="ServiceClass" locked="false">

      com.neusoft.wss4j.rempart.demo.services.SimpleService

   </parameter>

   <module ref="rampart" />

   <parameter name="InflowSecurity">

      <action>

          <items>Timestamp Signature</items>

          <signaturePropFile>

             keys/service.properties

          </signaturePropFile>

      </action>

   </parameter>

   <parameter name="OutflowSecurity">

      <action>

          <items>Timestamp Signature</items>

          <user>service</user>

          <passwordCallbackClass>

             com.neusoft.wss4j.rempart.demo.services.PWCBHandler

          </passwordCallbackClass>

          <signaturePropFile>

             keys/service.properties

          </signaturePropFile>

          <signatureKeyIdentifier>

             DirectReference

          </signatureKeyIdentifier>

      </action>

   </parameter>

</service>

 

服务器wsc中有几个方法就需要配置几个<operation></operation>

echo为wsc服务器类中的方法。wsc为服务的名字也就是后边的打包服务器端wsc.aar的名字。着重看下红色和粉色字体部分,红色这部分是客户端传来信息用数字签名来解密客户端传过来的加密信息本例通过keys文件夹下的service.properties这个文件找到service.jks对信息进行解密,粉色部分是服务器端把输出向客户端的信息加密用的,本例通过keys文件夹下的service.properties这个文件找到service.jks对信息加密的。

service.properties的内容如下:

org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin

org.apache.ws.security.crypto.merlin.keystore.type=jks

org.apache.ws.security.crypto.merlin.keystore.password=apache

org.apache.ws.security.crypto.merlin.file=keys/service.jks

写明了加密文件的类型,文件密码,文件名称。

 

4.3  生成.aar服务包

下边就可以根据一个服务器类SimpleService一个service.xml打包生成一个wsc.aar做为服务器端的程序。首先将这个SimpleService类打包,然后把service.xml放在打包后的MATE-INFO下边

这样服务器端程序wsc.aar就完成了。下边把wsc.aar  copy到D:\program\Tomcat6.0\webapps\axis2\WEB-INF\services目录下(这里是以我的机器做为例子的)

然后重启tomcat输入http://127.0.0.1:8080/axis2/services/listServices

就可以看到我们部署到服务器上的服务了。

 

4.4  编写模拟第三方测试程序

下面我写一个模拟第三方的程序调用webservice的一个例子

在包com.neusoft.wss4j.rempart.demo.client中的Client

它的内容如下:

package com.neusoft.wss4j.rempart.demo.client;

import java.io.Reader;

import java.io.StringReader;

import org.apache.axiom.om.OMAbstractFactory;

import org.apache.axiom.om.OMElement;

import org.apache.axiom.om.OMFactory;

import org.apache.axiom.om.OMNamespace;

import org.apache.axis2.addressing.EndpointReference;

import org.apache.axis2.client.Options;

import org.apache.axis2.client.ServiceClient;

import org.apache.axis2.context.ConfigurationContext;

import org.apache.axis2.context.ConfigurationContextFactory;

import org.jdom.Document;

import org.jdom.Element;

import org.jdom.input.SAXBuilder;

public class Client

{

   public static void main(String[] args) throws Exception

   {

       ConfigurationContext ctx = ConfigurationContextFactory

               .createConfigurationContextFromFileSystem(

                       "D:/eclipse3.2/workspace/wsc/WebRoot/WEB-INF",           "D:/eclipse3.2/workspace/wsc/WebRoot/WEB-INF/conf/axis2.xml");

       ServiceClient client = new ServiceClient(ctx, null);

       Options options = new Options();

       options.setAction("urn:echo");

       options.setTo(new EndpointReference(

               "http://localhost:8080/wsc/services/wsc"));

       client.setOptions(options);

       OMElement response = client.sendReceive(getPayload("(*^__^*) 嘻嘻……"));

       OMElement element = response.getFirstElement();

       //把返回的OMElement对象转换为 xml数据

       SAXBuilder builder = new SAXBuilder();

       Reader in = new StringReader(element.toString());

       Document doc = null;

       try

       {

           doc = builder.build(in);

           Element Element = doc.getRootElement();

           String aa = Element.getTextTrim();

           System.out.println(aa);

       }

       catch (Exception e)

       {

           System.out.println(e.getMessage());

       }

   }

   private static OMElement getPayload(String value)

   {

       OMFactory factory = OMAbstractFactory.getOMFactory();

       OMNamespace ns = factory.createOMNamespace(

       http://services.demo.rempart.wss4j.neusoft.com);","ns1

       OMElement elem = factory.createOMElement("echo", ns);

       OMElement childElem = factory.createOMElement("param0", null);

       childElem.setText(value);

       elem.addChild(childElem);

       return elem;

   }

}

这个测试类就不多说了,粉色的部分是需要注意的地方。

还有个客户端的axis2.xml需要说明一下

他的主要内容如下只要把这部分粘贴到原来的axis2.xml即可:

<module ref="rampart" />

<parameter name="OutflowSecurity">

      <action>

        <items>Timestamp Signature</items>

        <user>client</user>

        <signaturePropFile>keys/client.properties</signaturePropFile>

        <passwordCallbackClass>com.neusoft.wss4j.rempart.demo.services.PWCBHandler</passwordCallbackClass>

        <signatureKeyIdentifier>DirectReference</signatureKeyIdentifier>

      </action>

    </parameter>

    <parameter name="InflowSecurity">

      <action>

        <items>Timestamp Signature</items>

        <signaturePropFile>keys/client.properties</signaturePropFile>

      </action>

    </parameter>

注意一下红色的部分他是当客户端向服务器端发送数据时,首先访问com.neusoft.wss4j.rempart.demo.services.PWCBHandler这个类,得到访问权限和加密信息的文件密码,然后通过加密信息的文件密码和keys/client.properties文件找到加密需要的文件client.jks把信息加密发送给服务器端,粉色部分是通过keys/client.properties文件找到解密需要的文件client.jks来解密服务器端返回的加密信息。

Keys文件下的client.properties内容如下:

org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin

org.apache.ws.security.crypto.merlin.keystore.type=jks

org.apache.ws.security.crypto.merlin.keystore.password=apache

org.apache.ws.security.crypto.merlin.file=keys/client.jks

 

 

五、总  结

整理一下思路

1 客户端发送消息给服务器端:如果客户端想请求服务器端首先读取客户端配置文件axis2.xml文件,得到访问的用户<user>client</user>然后找到com.neusoft.wss4j.rempart.demo.services.PWCBHandler类,看用户是否有访问服务的权限,如果有则把client.jks文件的密码给用户client,client通过密码在axis2.xml文件中找到<signaturePropFile>keys/client.properties</signaturePropFile>找到client.properties文件,在client.properties文件中找到client.jks文件,使用该文件的client私钥从而实现把传送的信息加密,然后把加密的信息发送到服务器端。

2 服务器端接收客户端发送来的消息:服务器端接收到消息,然后读取service.xml文件找到<signaturePropFile>keys/service.properties</signaturePropFile>从而找到service.properties文件,通过该文件找到service.jks文件使用该文件的client的公钥

解密客户端传送来的信息。

3 服务器端返回信息给客户端: 获得客户端传送过来的明文信息后,从service.xml文件

得到加密的用户<user>service</user>通过

<passwordCallbackClass>

com.neusoft.wss4j.rempart.demo.services.PWCBHandler

</passwordCallbackClass>

找到验证类PWCBHandler得到加密需要的service.jks的加密密码apache

通过<signaturePropFile>

   keys/service.properties

   </signaturePropFile>找到service.properties文件,通过该文件找到service.jks文件,通过该文件的service的私钥把需要发送给客户端的信息加密。然后发送给客户端

4 客户端接收服务器端返回的消息:客户端端接收到消息,然后读取axis2.xml文件找到<signaturePropFile>keys/service.properties</signaturePropFile>从而找到client.properties文件,通过该文件找到client.jks文件使用该文件的service的公钥

解密服务器端返回来的信息。

相关文章
|
XML 安全 Java
axis2和wss4j实现webservices加密
Wss4j是apache开发的,标准实现WS-Security(WebService安全)的开源项目,它提供了用户名令牌环验证(UsernameToken)和传递消息时保证信息的完整性和真实性等一些WebService安全保障。
251 0
|
23天前
|
安全 算法 网络协议
【网络原理】——图解HTTPS如何加密(通俗简单易懂)
HTTPS加密过程,明文,密文,密钥,对称加密,非对称加密,公钥和私钥,证书加密
|
1月前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
59 10
|
1月前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
65 10
|
1月前
|
SQL 安全 网络安全
网络安全漏洞、加密技术与安全意识的知识分享
随着互联网的普及,网络安全问题日益严重。本文将介绍网络安全漏洞的概念、类型和防范措施,以及加密技术的原理和应用。同时,强调提高个人和企业的安全意识对于防范网络攻击的重要性。
|
1月前
|
存储 安全 网络安全
网络安全的盾与剑:漏洞防御与加密技术的实战应用
在数字化浪潮中,网络安全成为保护信息资产的重中之重。本文将深入探讨网络安全的两个关键领域——安全漏洞的防御策略和加密技术的应用,通过具体案例分析常见的安全威胁,并提供实用的防护措施。同时,我们将展示如何利用Python编程语言实现简单的加密算法,增强读者的安全意识和技术能力。文章旨在为非专业读者提供一扇了解网络安全复杂世界的窗口,以及为专业人士提供可立即投入使用的技术参考。
|
1月前
|
监控 安全 网络安全
网络安全与信息安全:漏洞、加密与意识的交织
在数字时代的浪潮中,网络安全与信息安全成为维护数据完整性、保密性和可用性的关键。本文深入探讨了网络安全中的漏洞概念、加密技术的应用以及提升安全意识的重要性。通过实际案例分析,揭示了网络攻击的常见模式和防御策略,强调了教育和技术并重的安全理念。旨在为读者提供一套全面的网络安全知识框架,从而在日益复杂的网络环境中保护个人和组织的资产安全。
|
1月前
|
存储 安全 算法
揭秘网络安全的盾牌与矛:漏洞防护与加密技术的较量
在数字化时代的棋局中,网络安全是每个参与者必须面对的挑战。本文将深入探讨网络安全中的两个关键角色——漏洞与加密技术。通过分析最新的安全漏洞案例,我们揭示网络攻击者如何利用这些漏洞进行破坏。同时,我们将展示加密技术如何成为保护数据不被窃取的强大盾牌。文章还将讨论提升个人和企业的安全意识的重要性,并通过实际的代码示例,展示如何在实践中应用这些知识来加强我们的网络防线。
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们日常生活中不可或缺的一部分。本文将深入探讨网络安全漏洞、加密技术和安全意识等方面的问题,并提供一些实用的建议和解决方案。我们将通过分析网络攻击的常见形式,揭示网络安全的脆弱性,并介绍如何利用加密技术来保护数据。此外,我们还将强调提高个人和企业的安全意识的重要性,以应对日益复杂的网络威胁。无论你是普通用户还是IT专业人士,这篇文章都将为你提供有价值的见解和指导。