[英]Implementing WS-Security at the Application Level
我正在尝试基于JAX-WS(使用JBoss AS 7.1.1)构建一个肥皂服务,并且我也需要实现安全性。 数据将是敏感的,因此它将通过HTTPS。 但是,我需要确定客户端,并确保只有他们才能执行其组织的操作。
从外观上,我在JBoss文档(和其他JAX-WS提供程序文档)上看到的所有内容都表明需要编辑多个.xml文件(某些在应用服务器层)。
我真的在寻找一种方法,可以在服务中使用SOAP标头调用一个类,并且可以在其中执行验证/认证/授权。 非常感谢有人能够为我指出正确的方向。
您始终可以随请求一起显式发送身份验证数据(例如,除了普通参数外,还包括用户名和密码)。 您必须确保连接已加密。
您可以使用公钥/私钥来对此进行优化:因此,首先服务器发送其公钥,客户端使用该公钥加密用户/密码,然后服务器可以使用其私钥对其进行解密。 由于按请求而言这可能太昂贵,因此服务器可以在特定时间内发出令牌 ,客户端可以在随后的请求中发送令牌(因此令牌是建立会话的一种方式)。
话虽这么说,我知道有时JBoss安全设置非常麻烦,您必须非常仔细地实施和测试它,否则您可能会打开一些安全漏洞 (令牌可能会泄漏,会话可能被捕获,令牌失效,SSL连接终止于) Web服务器上,明文密码保留在RAM中,并在磁盘上调出页面等)。
在Java中为ws-security UsernameToken实现密码摘要
[英]Implementing password digest for ws-security UsernameToken in Java
如何让 WS-Security 证书被 Java 应用程序接受
[英]How to get WS-Security certificate to be accepted by Java application
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
