webservice的安全机制2---handler实现

2024-09-07 17:38

本文主要是介绍webservice的安全机制2---handler实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本节摘要:本节介绍使用handler的方式来实现webservice的IP地址的校验。

 

1.引言

前一节介绍了使用users.lst文件来实现webservice的用户名和密码的校验,

本节介绍使用webservice的handler来实现webservice的安全校验。

这里,不用用户名和密码来实现安全校验,换一种方式,采用IP地址校验的方式。

这里通过一个配置文件来控制是否打开IP校验开关以及允许哪些IP地址的客户端可以访问。 

这里的开发还是基于上一节HelloService这个基本的webservice基础上来开发。

 

2.项目环境

   system:win7   

   myeclipse:6.5 tomcat:5.0  JDK:开发环境1.5,编译环境1.4

  axis:1.4

  项目结构图如下:

 

3.示例代码

配置文件

web.xml---web项目的配置文件,和基本的webservice配置没任何区别

web.xml
 1 <?xml version="1.0" encoding="UTF-8"?>
 2 <web-app version="2.4" 
 3     xmlns="http://java.sun.com/xml/ns/j2ee" 
 4     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
 5     xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee 
 6     http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
 7 
 8        <servlet>
 9         <servlet-name>AxisServlet</servlet-name>
10         <servlet-class>
11             org.apache.axis.transport.http.AxisServlet
12         </servlet-class>
13     </servlet>
14     <servlet-mapping>
15         <servlet-name>AxisServlet</servlet-name>
16         <url-pattern>/services/*</url-pattern>
17     </servlet-mapping>
18     
19 </web-app>

server-config.wsdd---axis的配置文件,这里的配置就是一个webservice+handler的基本配置

server-config.wsdd
 1 <?xml version="1.0" encoding="UTF-8"?>
 2 <deployment xmlns="http://xml.apache.org/axis/wsdd/"
 3     xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">
 4     <globalConfiguration>
 5         <parameter name="sendMultiRefs" value="true" />
 6         <parameter name="disablePrettyXML" value="true" />
 7         <parameter name="adminPassword" value="admin" />
 8         <parameter name="attachments.Directory"
 9             value="D:\tomcat5\webapps\WebService\WEB-INF\attachments" />
10         <parameter name="dotNetSoapEncFix" value="true" />
11         <parameter name="enableNamespacePrefixOptimization"
12             value="false" />
13         <parameter name="sendXMLDeclaration" value="true" />
14         <parameter name="sendXsiTypes" value="true" />
15         <parameter name="attachments.implementation"
16             value="org.apache.axis.attachments.AttachmentsImpl" />
17         <requestFlow>
18             <handler type="java:org.apache.axis.handlers.JWSHandler">
19                 <parameter name="scope" value="session" />
20             </handler>
21             <handler type="java:org.apache.axis.handlers.JWSHandler">
22                 <parameter name="scope" value="request" />
23                 <parameter name="extension" value=".jwr" />
24             </handler>
25         </requestFlow>
26     </globalConfiguration>
27     <handler name="LocalResponder"
28         type="java:org.apache.axis.transport.local.LocalResponder" />
29     <handler name="URLMapper"
30         type="java:org.apache.axis.handlers.http.URLMapper" />
31     <handler name="Authenticate"
32         type="java:org.apache.axis.handlers.SimpleAuthenticationHandler" />
33     <service name="AdminService" provider="java:MSG">
34         <parameter name="allowedMethods" value="AdminService" />
35         <parameter name="enableRemoteAdmin" value="false" />
36         <parameter name="className" value="org.apache.axis.utils.Admin" />
37         <namespace>http://xml.apache.org/axis/wsdd/</namespace>
38     </service>
39     <service name="Version" provider="java:RPC">
40         <parameter name="allowedMethods" value="getVersion" />
41         <parameter name="className" value="org.apache.axis.Version" />
42     </service>
43 
44     <transport name="http">
45         <requestFlow>
46             <handler type="URLMapper" />
47             <handler
48                 type="java:org.apache.axis.handlers.http.HTTPAuthHandler" />
49         </requestFlow>
50         <parameter name="qs:list"
51             value="org.apache.axis.transport.http.QSListHandler" />
52         <parameter name="qs:wsdl"
53             value="org.apache.axis.transport.http.QSWSDLHandler" />
54         <parameter name="qs.list"
55             value="org.apache.axis.transport.http.QSListHandler" />
56         <parameter name="qs.method"
57             value="org.apache.axis.transport.http.QSMethodHandler" />
58         <parameter name="qs:method"
59             value="org.apache.axis.transport.http.QSMethodHandler" />
60         <parameter name="qs.wsdl"
61             value="org.apache.axis.transport.http.QSWSDLHandler" />
62     </transport>
63     <transport name="local">
64         <responseFlow>
65             <handler type="LocalResponder" />
66         </responseFlow>
67     </transport>
68     
69      <!-- 配置一个handler,用来进行IP校验-->
70     <handler name="IPHandler" type="java:server.handler.IpAuthentionHandler">
71         <parameter name="status" value="success" />
72     </handler>
73      
74 
75     <!-- 配置自己的服务 -->
76     <service name="HelloService" provider="java:RPC">
77         <parameter name="allowedMethods" value="*" />
78         <parameter name="className" value="server.service.HelloServiceImpl" />
79 
80         <!-- 引入IP校验的handler -->
81         <requestFlow>
82             <handler type="IPHandler" />
83         </requestFlow>
84 
85     </service>
86 
87 </deployment>

 

服务端文件

服务类:

HelloServiceImpl.java

HelloServiceImpl.java
 1 package server.service;
 2 
 3 public class HelloServiceImpl {
 4 
 5     public String hello(String s) {
 6         System.out.println("我是服务端......");
 7         System.out.println("方法的入参为:"+s);
 8         return "hello," + s;
 9     }
10 }

handler处理类和配置文件:

IpAuthentionHandler.java

IpAuthentionHandler.java
 1 package server.handler;
 2 
 3 import java.io.IOException;
 4 import java.io.InputStream;
 5 import java.util.Properties;
 6 import java.util.regex.Pattern;
 7 
 8 import javax.servlet.http.HttpServletRequest;
 9 
10 import org.apache.axis.AxisFault;
11 import org.apache.axis.MessageContext;
12 import org.apache.axis.handlers.BasicHandler;
13 import org.apache.axis.transport.http.HTTPConstants;
14 import org.apache.axis.utils.Messages;
15 
16 //利用handler进行客户端IP校验
17 public class IpAuthentionHandler extends BasicHandler {
18 
19     private static final long serialVersionUID = 1L;
20     
21     private static Properties p = new Properties();
22 
23     static {
24         InputStream in = null;
25         try {
26             //注意这里的文件的存放位置和文件路径的书写方式; path 不以'/'开头时默认是从此类所在的包下取资源
27             //这里如果我们把ip.properties放在src根目录下,然后采用src/ip.properties的形式是没法取到此文件的;
28             //此时需要使用        in=IpAuthentionHandler.class.getClassLoader().getResourceAsStream("ip.properties");
29             in = IpAuthentionHandler.class.getResourceAsStream("ip.properties");            
30             p.load(in);
31         } catch (IOException e) {
32             System.out.println("ip.properties配置文件加载失败!");
33             e.printStackTrace();
34         } finally {
35             if (null != in)
36                 try {
37                     in.close();
38                 } catch (IOException e) {
39                     System.out.println("关闭流操作发生异常!");
40                     e.printStackTrace();
41                 }
42         }
43     }
44 
45     public void invoke(MessageContext messageContext) throws AxisFault {
46         String status=(String)this.getOption("status");
47         System.out.println("IpAuthentionHandler's  status is :"+status);
48 
49         String uri = messageContext.getSOAPActionURI();
50         String targetService = messageContext.getTargetService();
51 
52         System.out.println("webservice开始IP认证:service>>" + uri + "/"+ targetService);
53         String name = HTTPConstants.MC_HTTP_SERVLETREQUEST;
54 
55         HttpServletRequest request = (HttpServletRequest) messageContext
56                 .getProperty(name);
57         String remoteAddr = request.getRemoteAddr();
58         System.out.println("客户端IP:" + remoteAddr);
59 
60         String switcher = p.getProperty("ip_switcher");
61         System.out.println("IP校验开关:" + switcher);
62 
63         if ("on".equalsIgnoreCase(switcher)) {
64             System.out.println("服务端IP校验开关处于【打开】状态,需要校验IP");
65 
66             String regx = p.getProperty("ip_allow");
67             System.out.println("允许调用服务的IP地址有:" + regx);
68 
69             if (null != regx && regx.length() > 0) {
70 
71                 String regxArray[] = regx.split(",");
72                 boolean ip_check = false;
73                 for (int i = 0; i < regxArray.length; i++) {
74                     Pattern p = Pattern.compile(regxArray[i]);
75                     boolean flag = p.matcher(remoteAddr).find();
76                     if (flag) {
77                         ip_check = true;
78                         break;
79                     }
80                 }
81 
82                 if (ip_check) {
83                     System.out.println("IP校验通过!");
84                 } else {
85                     throw new AxisFault("",Messages.getMessage("wrong ip:"+remoteAddr),null,null);
86                 }
87             } else {
88                 System.out.println("请指定校验的客户端IP!");
89                 throw new AxisFault();
90             }
91         } else if ("off".equalsIgnoreCase(switcher)) {
92             System.out.println("服务端IP校验开关处于【关闭】状态,不需要校验IP");
93         }
94     }
95     
96 }

ip.properties

ip.properties
1 ##################################IP校验配置##################################
2 #IP校验开关 只能填写on或者off,不区分大小写
3 ip_switcher=on
4 
5 #允许调用对应的webservice服务的客户端IP地址 多个IP地址之间用逗号隔开
6 #当ip校验开关打开的时候,必须配置IP地址
7 ip_allow=10.10.147.124,10.10.147.123,127.0.0.1
8 
9 ##################################IP校验配置##################################

 

客户端文件

Test1.java

Test1.java
 1 package client;
 2 
 3 import java.net.URL;
 4 
 5 import javax.xml.rpc.ParameterMode;
 6 
 7 import org.apache.axis.client.Call;
 8 import org.apache.axis.encoding.XMLType;
 9 
10 public class Test1 {
11 
12     public static void main(String args[]) throws Exception {
13         webservice_user();
14     }
15 
16     public static void webservice_user() throws Exception {
17 
18         // 1.创建service对象,通过axis自带的类创建
19         org.apache.axis.client.Service service = new org.apache.axis.client.Service();
20 
21         // 2.创建url对象
22         String wsdlUrl = "http://localhost:8080/WebService05_Security/services/HelloService?wsdl";// 请求服务的URL
23         URL url = new URL(wsdlUrl);// 通过URL类的构造方法传入wsdlUrl地址创建URL对象
24 
25         // 2.创建服务方法的调用者对象call,设置call对象的属性
26         Call call = (Call) service.createCall();
27         call.setTargetEndpointAddress(url);// 给call对象设置请求的URL属性
28         String serviceName = "hello";// webservice的方法名
29         call.setOperationName(serviceName);// 给call对象设置调用方法名属性
30         call.addParameter("s", XMLType.XSD_STRING, ParameterMode.IN);// 给call对象设置方法的参数名、参数类型、参数模式
31         call.setReturnType(XMLType.SOAP_STRING);// 设置调用方法的返回值类型
32         // call.setTimeout(new Integer(200));//设置超时限制
33 
34         // 4.通过invoke方法调用webservice
35         String str = new String("pantp");
36         String dept = (String) call.invoke(new Object[] { str });// 调用服务方法
37 
38         // 5.打印返回结果
39         System.out.println("我是客户端.......");
40         System.out.println(dept);
41     }
42 
43 }

 

验证结果

发布工程,启动tomcat服务器:

1.看webservice在浏览器中是否可以正常显示

在浏览器中输入wsdl地址:

                http://localhost:8080/WebService05_Security/services/HelloService?wsdl

 

2.运行webservice客户端,看是否可以正常的访问

   目前IP配置文件中开关是打开的,并且127.0.0.1是允许访问此webservice服务的

  运行后客户端和服务端日志分别如下:

  

  

 3.模拟不能正常访问的IP地址的调用情况

    把ip.properties文件中的

      ip_allow=10.10.147.124,10.10.147.123,127.0.0.1

    改为:

      ip_allow=10.10.147.124,10.10.147.123

然后,重新发布项目,启动tomcat:

此时客户端和服务端的日志如下(此时需要时间稍微长一点,客户端才会出现以下异常):

这篇关于webservice的安全机制2---handler实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1145713

相关文章

Java的栈与队列实现代码解析

《Java的栈与队列实现代码解析》栈是常见的线性数据结构,栈的特点是以先进后出的形式,后进先出,先进后出,分为栈底和栈顶,栈应用于内存的分配,表达式求值,存储临时的数据和方法的调用等,本文给大家介绍J... 目录栈的概念(Stack)栈的实现代码队列(Queue)模拟实现队列(双链表实现)循环队列(循环数组

C++如何通过Qt反射机制实现数据类序列化

《C++如何通过Qt反射机制实现数据类序列化》在C++工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作,所以本文就来聊聊C++如何通过Qt反射机制实现数据类序列化吧... 目录设计预期设计思路代码实现使用方法在 C++ 工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作。由于数据类

Python实现图片分割的多种方法总结

《Python实现图片分割的多种方法总结》图片分割是图像处理中的一个重要任务,它的目标是将图像划分为多个区域或者对象,本文为大家整理了一些常用的分割方法,大家可以根据需求自行选择... 目录1. 基于传统图像处理的分割方法(1) 使用固定阈值分割图片(2) 自适应阈值分割(3) 使用图像边缘检测分割(4)

Android实现在线预览office文档的示例详解

《Android实现在线预览office文档的示例详解》在移动端展示在线Office文档(如Word、Excel、PPT)是一项常见需求,这篇文章为大家重点介绍了两种方案的实现方法,希望对大家有一定的... 目录一、项目概述二、相关技术知识三、实现思路3.1 方案一:WebView + Office Onl

C# foreach 循环中获取索引的实现方式

《C#foreach循环中获取索引的实现方式》:本文主要介绍C#foreach循环中获取索引的实现方式,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录一、手动维护索引变量二、LINQ Select + 元组解构三、扩展方法封装索引四、使用 for 循环替代

Spring Security+JWT如何实现前后端分离权限控制

《SpringSecurity+JWT如何实现前后端分离权限控制》本篇将手把手教你用SpringSecurity+JWT搭建一套完整的登录认证与权限控制体系,具有很好的参考价值,希望对大家... 目录Spring Security+JWT实现前后端分离权限控制实战一、为什么要用 JWT?二、JWT 基本结构

Java实现优雅日期处理的方案详解

《Java实现优雅日期处理的方案详解》在我们的日常工作中,需要经常处理各种格式,各种类似的的日期或者时间,下面我们就来看看如何使用java处理这样的日期问题吧,感兴趣的小伙伴可以跟随小编一起学习一下... 目录前言一、日期的坑1.1 日期格式化陷阱1.2 时区转换二、优雅方案的进阶之路2.1 线程安全重构2

Android实现两台手机屏幕共享和远程控制功能

《Android实现两台手机屏幕共享和远程控制功能》在远程协助、在线教学、技术支持等多种场景下,实时获得另一部移动设备的屏幕画面,并对其进行操作,具有极高的应用价值,本项目旨在实现两台Android手... 目录一、项目概述二、相关知识2.1 MediaProjection API2.2 Socket 网络

使用Python实现图像LBP特征提取的操作方法

《使用Python实现图像LBP特征提取的操作方法》LBP特征叫做局部二值模式,常用于纹理特征提取,并在纹理分类中具有较强的区分能力,本文给大家介绍了如何使用Python实现图像LBP特征提取的操作方... 目录一、LBP特征介绍二、LBP特征描述三、一些改进版本的LBP1.圆形LBP算子2.旋转不变的LB

Redis消息队列实现异步秒杀功能

《Redis消息队列实现异步秒杀功能》在高并发场景下,为了提高秒杀业务的性能,可将部分工作交给Redis处理,并通过异步方式执行,Redis提供了多种数据结构来实现消息队列,总结三种,本文详细介绍Re... 目录1 Redis消息队列1.1 List 结构1.2 Pub/Sub 模式1.3 Stream 结