首先,必須先確定classpath中有wss4j的jar。然後在原本的spring設定檔中的<jaxws:endpoint>加上以下內容:
<jaxws:inInterceptors>
<bean class="org.apache.cxf.binding.soap.saaj.SAAJInInterceptor" />
<bean class="org.apache.cxf.ws.security.wss4j.WSS4JInInterceptor">
<constructor-arg>
<map>
<entry key="action" value="UsernameToken" />
<entry key="passwordType" value="PasswordText" />
<entry key="passwordCallbackClass" value="com.company.auth.service.ServerPasswordCallback" />
</map>
</constructor-arg>
</bean>
</jaxws:inInterceptors>
其中必須注意的是WSS4JInInterceptor的設定。action是設定認證的方式,使用UsernameToken是表示使用username與password的認證方式,這是最簡單也是常用的方式;passwordType是設定密碼型態,使用PasswordText是指明碼password;passwordCallbackClass是指實作密碼驗證的classname,此處亦可以用passwordCallbackRef來代替,而設定值也將變為已經設定好的bean。以上就是在service端必須要的設定。而除此之外,也必須撰寫對應的PasswordCallback class。例如:
而client的部份也是使用類似的設定但是是for WSS4JOutInterceptor;而password callback class是必須for client的,因為是要設定傳送給service的username跟password。import java.io.IOException;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.UnsupportedCallbackException;
import org.apache.ws.security.WSPasswordCallback;
public class ServerPasswordCallback implements CallbackHandler {
public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
WSPasswordCallback pc = (WSPasswordCallback) callbacks[0];
if (pc.getIdentifer().equals("joe") {
// set the password on the callback. This will be compared to the
// password which was sent from the client.
pc.setPassword("password");
}
}
}
在client的部份,如果不是透過spring的方式去取得service,則必須自己手動加入有關WSS4JOutInterceptor的設定。
心得:
- 透過WSS4JOutInterceptor跟WSS4JInInterceptor,可以讓CXF支援身份認證的功能。但是這類的身份認證是在每次連線時都會進行,所以如果是需要查詢DB的話,可能會導致執行效率低落
- service端使用WSS4JInInterceptor; client使用WSS4JOutInterceptor.
- 若是透過JaxWsServerFactoryBean來取得service,則手動設定WSS4JOutInterceptor時,雖然會有設定username的行為,但是client password callback class還是必須做設定identifier的動作,否則會有連線問題
- 當passwordType是PasswordText時,service side 必須自己取出密碼並且驗證,若是驗證失敗則必須丟出適當的exception;而若是passwordType為PasswordDigest,則密碼是處理過的,無法透過getPassword取出密碼,此時service side也必須將service端的密碼透過setPassword設定給callback class,然後交由framework去驗證;若是驗證失敗,framework會自動丟出exception
沒有留言:
張貼留言