本文主要是介绍webservice的安全机制2---handler实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本节摘要:本节介绍使用handler的方式来实现webservice的IP地址的校验。
1.引言
前一节介绍了使用users.lst文件来实现webservice的用户名和密码的校验,
本节介绍使用webservice的handler来实现webservice的安全校验。
这里,不用用户名和密码来实现安全校验,换一种方式,采用IP地址校验的方式。
这里通过一个配置文件来控制是否打开IP校验开关以及允许哪些IP地址的客户端可以访问。
这里的开发还是基于上一节HelloService这个基本的webservice基础上来开发。
2.项目环境
system:win7
myeclipse:6.5 tomcat:5.0 JDK:开发环境1.5,编译环境1.4
axis:1.4
项目结构图如下:
3.示例代码
配置文件
web.xml---web项目的配置文件,和基本的webservice配置没任何区别
web.xml 1 <?xml version="1.0" encoding="UTF-8"?> 2 <web-app version="2.4" 3 xmlns="http://java.sun.com/xml/ns/j2ee" 4 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 5 xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee 6 http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"> 7 8 <servlet> 9 <servlet-name>AxisServlet</servlet-name> 10 <servlet-class> 11 org.apache.axis.transport.http.AxisServlet 12 </servlet-class> 13 </servlet> 14 <servlet-mapping> 15 <servlet-name>AxisServlet</servlet-name> 16 <url-pattern>/services/*</url-pattern> 17 </servlet-mapping> 18 19 </web-app>
server-config.wsdd---axis的配置文件,这里的配置就是一个webservice+handler的基本配置
server-config.wsdd 1 <?xml version="1.0" encoding="UTF-8"?> 2 <deployment xmlns="http://xml.apache.org/axis/wsdd/" 3 xmlns:java="http://xml.apache.org/axis/wsdd/providers/java"> 4 <globalConfiguration> 5 <parameter name="sendMultiRefs" value="true" /> 6 <parameter name="disablePrettyXML" value="true" /> 7 <parameter name="adminPassword" value="admin" /> 8 <parameter name="attachments.Directory" 9 value="D:\tomcat5\webapps\WebService\WEB-INF\attachments" /> 10 <parameter name="dotNetSoapEncFix" value="true" /> 11 <parameter name="enableNamespacePrefixOptimization" 12 value="false" /> 13 <parameter name="sendXMLDeclaration" value="true" /> 14 <parameter name="sendXsiTypes" value="true" /> 15 <parameter name="attachments.implementation" 16 value="org.apache.axis.attachments.AttachmentsImpl" /> 17 <requestFlow> 18 <handler type="java:org.apache.axis.handlers.JWSHandler"> 19 <parameter name="scope" value="session" /> 20 </handler> 21 <handler type="java:org.apache.axis.handlers.JWSHandler"> 22 <parameter name="scope" value="request" /> 23 <parameter name="extension" value=".jwr" /> 24 </handler> 25 </requestFlow> 26 </globalConfiguration> 27 <handler name="LocalResponder" 28 type="java:org.apache.axis.transport.local.LocalResponder" /> 29 <handler name="URLMapper" 30 type="java:org.apache.axis.handlers.http.URLMapper" /> 31 <handler name="Authenticate" 32 type="java:org.apache.axis.handlers.SimpleAuthenticationHandler" /> 33 <service name="AdminService" provider="java:MSG"> 34 <parameter name="allowedMethods" value="AdminService" /> 35 <parameter name="enableRemoteAdmin" value="false" /> 36 <parameter name="className" value="org.apache.axis.utils.Admin" /> 37 <namespace>http://xml.apache.org/axis/wsdd/</namespace> 38 </service> 39 <service name="Version" provider="java:RPC"> 40 <parameter name="allowedMethods" value="getVersion" /> 41 <parameter name="className" value="org.apache.axis.Version" /> 42 </service> 43 44 <transport name="http"> 45 <requestFlow> 46 <handler type="URLMapper" /> 47 <handler 48 type="java:org.apache.axis.handlers.http.HTTPAuthHandler" /> 49 </requestFlow> 50 <parameter name="qs:list" 51 value="org.apache.axis.transport.http.QSListHandler" /> 52 <parameter name="qs:wsdl" 53 value="org.apache.axis.transport.http.QSWSDLHandler" /> 54 <parameter name="qs.list" 55 value="org.apache.axis.transport.http.QSListHandler" /> 56 <parameter name="qs.method" 57 value="org.apache.axis.transport.http.QSMethodHandler" /> 58 <parameter name="qs:method" 59 value="org.apache.axis.transport.http.QSMethodHandler" /> 60 <parameter name="qs.wsdl" 61 value="org.apache.axis.transport.http.QSWSDLHandler" /> 62 </transport> 63 <transport name="local"> 64 <responseFlow> 65 <handler type="LocalResponder" /> 66 </responseFlow> 67 </transport> 68 69 <!-- 配置一个handler,用来进行IP校验--> 70 <handler name="IPHandler" type="java:server.handler.IpAuthentionHandler"> 71 <parameter name="status" value="success" /> 72 </handler> 73 74 75 <!-- 配置自己的服务 --> 76 <service name="HelloService" provider="java:RPC"> 77 <parameter name="allowedMethods" value="*" /> 78 <parameter name="className" value="server.service.HelloServiceImpl" /> 79 80 <!-- 引入IP校验的handler --> 81 <requestFlow> 82 <handler type="IPHandler" /> 83 </requestFlow> 84 85 </service> 86 87 </deployment>
服务端文件
服务类:
HelloServiceImpl.java
HelloServiceImpl.java 1 package server.service; 2 3 public class HelloServiceImpl { 4 5 public String hello(String s) { 6 System.out.println("我是服务端......"); 7 System.out.println("方法的入参为:"+s); 8 return "hello," + s; 9 } 10 }
handler处理类和配置文件:
IpAuthentionHandler.java
IpAuthentionHandler.java 1 package server.handler; 2 3 import java.io.IOException; 4 import java.io.InputStream; 5 import java.util.Properties; 6 import java.util.regex.Pattern; 7 8 import javax.servlet.http.HttpServletRequest; 9 10 import org.apache.axis.AxisFault; 11 import org.apache.axis.MessageContext; 12 import org.apache.axis.handlers.BasicHandler; 13 import org.apache.axis.transport.http.HTTPConstants; 14 import org.apache.axis.utils.Messages; 15 16 //利用handler进行客户端IP校验 17 public class IpAuthentionHandler extends BasicHandler { 18 19 private static final long serialVersionUID = 1L; 20 21 private static Properties p = new Properties(); 22 23 static { 24 InputStream in = null; 25 try { 26 //注意这里的文件的存放位置和文件路径的书写方式; path 不以'/'开头时默认是从此类所在的包下取资源 27 //这里如果我们把ip.properties放在src根目录下,然后采用src/ip.properties的形式是没法取到此文件的; 28 //此时需要使用 in=IpAuthentionHandler.class.getClassLoader().getResourceAsStream("ip.properties"); 29 in = IpAuthentionHandler.class.getResourceAsStream("ip.properties"); 30 p.load(in); 31 } catch (IOException e) { 32 System.out.println("ip.properties配置文件加载失败!"); 33 e.printStackTrace(); 34 } finally { 35 if (null != in) 36 try { 37 in.close(); 38 } catch (IOException e) { 39 System.out.println("关闭流操作发生异常!"); 40 e.printStackTrace(); 41 } 42 } 43 } 44 45 public void invoke(MessageContext messageContext) throws AxisFault { 46 String status=(String)this.getOption("status"); 47 System.out.println("IpAuthentionHandler's status is :"+status); 48 49 String uri = messageContext.getSOAPActionURI(); 50 String targetService = messageContext.getTargetService(); 51 52 System.out.println("webservice开始IP认证:service>>" + uri + "/"+ targetService); 53 String name = HTTPConstants.MC_HTTP_SERVLETREQUEST; 54 55 HttpServletRequest request = (HttpServletRequest) messageContext 56 .getProperty(name); 57 String remoteAddr = request.getRemoteAddr(); 58 System.out.println("客户端IP:" + remoteAddr); 59 60 String switcher = p.getProperty("ip_switcher"); 61 System.out.println("IP校验开关:" + switcher); 62 63 if ("on".equalsIgnoreCase(switcher)) { 64 System.out.println("服务端IP校验开关处于【打开】状态,需要校验IP"); 65 66 String regx = p.getProperty("ip_allow"); 67 System.out.println("允许调用服务的IP地址有:" + regx); 68 69 if (null != regx && regx.length() > 0) { 70 71 String regxArray[] = regx.split(","); 72 boolean ip_check = false; 73 for (int i = 0; i < regxArray.length; i++) { 74 Pattern p = Pattern.compile(regxArray[i]); 75 boolean flag = p.matcher(remoteAddr).find(); 76 if (flag) { 77 ip_check = true; 78 break; 79 } 80 } 81 82 if (ip_check) { 83 System.out.println("IP校验通过!"); 84 } else { 85 throw new AxisFault("",Messages.getMessage("wrong ip:"+remoteAddr),null,null); 86 } 87 } else { 88 System.out.println("请指定校验的客户端IP!"); 89 throw new AxisFault(); 90 } 91 } else if ("off".equalsIgnoreCase(switcher)) { 92 System.out.println("服务端IP校验开关处于【关闭】状态,不需要校验IP"); 93 } 94 } 95 96 }
ip.properties
ip.properties 1 ##################################IP校验配置################################## 2 #IP校验开关 只能填写on或者off,不区分大小写 3 ip_switcher=on 4 5 #允许调用对应的webservice服务的客户端IP地址 多个IP地址之间用逗号隔开 6 #当ip校验开关打开的时候,必须配置IP地址 7 ip_allow=10.10.147.124,10.10.147.123,127.0.0.1 8 9 ##################################IP校验配置##################################
客户端文件
Test1.java
Test1.java 1 package client; 2 3 import java.net.URL; 4 5 import javax.xml.rpc.ParameterMode; 6 7 import org.apache.axis.client.Call; 8 import org.apache.axis.encoding.XMLType; 9 10 public class Test1 { 11 12 public static void main(String args[]) throws Exception { 13 webservice_user(); 14 } 15 16 public static void webservice_user() throws Exception { 17 18 // 1.创建service对象,通过axis自带的类创建 19 org.apache.axis.client.Service service = new org.apache.axis.client.Service(); 20 21 // 2.创建url对象 22 String wsdlUrl = "http://localhost:8080/WebService05_Security/services/HelloService?wsdl";// 请求服务的URL 23 URL url = new URL(wsdlUrl);// 通过URL类的构造方法传入wsdlUrl地址创建URL对象 24 25 // 2.创建服务方法的调用者对象call,设置call对象的属性 26 Call call = (Call) service.createCall(); 27 call.setTargetEndpointAddress(url);// 给call对象设置请求的URL属性 28 String serviceName = "hello";// webservice的方法名 29 call.setOperationName(serviceName);// 给call对象设置调用方法名属性 30 call.addParameter("s", XMLType.XSD_STRING, ParameterMode.IN);// 给call对象设置方法的参数名、参数类型、参数模式 31 call.setReturnType(XMLType.SOAP_STRING);// 设置调用方法的返回值类型 32 // call.setTimeout(new Integer(200));//设置超时限制 33 34 // 4.通过invoke方法调用webservice 35 String str = new String("pantp"); 36 String dept = (String) call.invoke(new Object[] { str });// 调用服务方法 37 38 // 5.打印返回结果 39 System.out.println("我是客户端......."); 40 System.out.println(dept); 41 } 42 43 }
验证结果
发布工程,启动tomcat服务器:
1.看webservice在浏览器中是否可以正常显示
在浏览器中输入wsdl地址:
http://localhost:8080/WebService05_Security/services/HelloService?wsdl
2.运行webservice客户端,看是否可以正常的访问
目前IP配置文件中开关是打开的,并且127.0.0.1是允许访问此webservice服务的
运行后客户端和服务端日志分别如下:
3.模拟不能正常访问的IP地址的调用情况
把ip.properties文件中的
ip_allow=10.10.147.124,10.10.147.123,127.0.0.1
改为:
ip_allow=10.10.147.124,10.10.147.123
然后,重新发布项目,启动tomcat:
此时客户端和服务端的日志如下(此时需要时间稍微长一点,客户端才会出现以下异常):
这篇关于webservice的安全机制2---handler实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
