2009年4月14日 星期二

JAX-WS & Apache CXF 二三事(2) - Authentication

Apache CXF也有支援WS-Security來為Web service做傳輸加解密與身份認證的工作。設定與程式部份並不難。可以參考WS-SecurityApache CXF Tutorial - WS-Security with Spring

首先,必須先確定classpath中有wss4j的jar。然後在原本的spring設定檔中的<jaxws:endpoint>加上以下內容:
<jaxws:inInterceptors>
<bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
<bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
<constructor-arg>
<map>
<entry key="action" value="UsernameToken" />

<entry key="passwordType" value="PasswordText" />
<entry key="passwordCallbackClass" value="com.company.auth.service.ServerPasswordCallback" />
</map>
</constructor-arg>
</bean>
</jaxws:inInterceptors>

其中必須注意的是WSS4JInInterceptor的設定。action是設定認證的方式,使用UsernameToken是表示使用username與password的認證方式,這是最簡單也是常用的方式;passwordType是設定密碼型態,使用PasswordText是指明碼password;passwordCallbackClass是指實作密碼驗證的classname,此處亦可以用passwordCallbackRef來代替,而設定值也將變為已經設定好的bean。以上就是在service端必須要的設定。而除此之外,也必須撰寫對應的PasswordCallback class。例如:
import java.io.IOException;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;
import org.apache.ws.security.WSPasswordCallback;

public class ServerPasswordCallback implements CallbackHandler {

public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {

  WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];

  if (pc.getIdentifer().equals("joe") {
      // set the password on the callback. This will be compared to the
            // password which was sent from the client.
            pc.setPassword("password");
  }
}

}
而client的部份也是使用類似的設定但是是for WSS4JOutInterceptor;而password callback class是必須for client的,因為是要設定傳送給service的username跟password。
在client的部份,如果不是透過spring的方式去取得service,則必須自己手動加入有關WSS4JOutInterceptor的設定。

心得:
  1. 透過WSS4JOutInterceptor跟WSS4JInInterceptor,可以讓CXF支援身份認證的功能。但是這類的身份認證是在每次連線時都會進行,所以如果是需要查詢DB的話,可能會導致執行效率低落
  2. service端使用WSS4JInInterceptor; client使用WSS4JOutInterceptor.
  3. 若是透過JaxWsServerFactoryBean來取得service,則手動設定WSS4JOutInterceptor時,雖然會有設定username的行為,但是client password callback class還是必須做設定identifier的動作,否則會有連線問題
  4. 當passwordType是PasswordText時,service side 必須自己取出密碼並且驗證,若是驗證失敗則必須丟出適當的exception;而若是passwordType為PasswordDigest,則密碼是處理過的,無法透過getPassword取出密碼,此時service side也必須將service端的密碼透過setPassword設定給callback class,然後交由framework去驗證;若是驗證失敗,framework會自動丟出exception
張貼者:
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)