當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

選擇正確的Web服務(wù)器安全解決方案

http://m.yibo1263.com　2008/5/7 8:16:34 　來(lái)源:ccident 　編輯:張佳奇

UsernameToken 身份驗(yàn)證

UsernameToken 身份驗(yàn)證與HTTP身份驗(yàn)證很相似，此時(shí)用戶保密信息在消息的頭部被傳送。UsernameToken被添加到SOAP的頭部，可能還會(huì)夾雜著一個(gè)散列的口令。這是一種加密的簡(jiǎn)單形式，可以避免無(wú)限制地傳遞口令。應(yīng)該使用傳輸級(jí)別或者消息級(jí)別的加密來(lái)保證用戶口令的保密性。

通過(guò)允許配置一個(gè)用于口令驗(yàn)證的LDAP，應(yīng)用程序服務(wù)器支持UsernameToken身份驗(yàn)證。在應(yīng)用程序服務(wù)器收到一個(gè)SOAP消息時(shí)，在將消息轉(zhuǎn)發(fā)給應(yīng)用程序之前，它會(huì)通過(guò)LDAP驗(yàn)證用戶證書的正確性。

請(qǐng)?zhí)砑用枋?src="/Files/BeyondPic/2008-5/7/1210043119656.gif"

　　由于其簡(jiǎn)易性和在應(yīng)用程序服務(wù)器中的廣泛支持，UsernameToken身份驗(yàn)證是非常吸引人的。然而，在考慮將它部署到你的應(yīng)用框架時(shí)，你必須清楚其限制條件：

會(huì)話狀態(tài): UsernameToken需要用戶名和口令在每一個(gè)Web服務(wù)的調(diào)用上都被傳遞。這暗示著如果客戶端經(jīng)常與該服務(wù)會(huì)話，客戶端必須要對(duì)口令進(jìn)行緩存，而這會(huì)導(dǎo)致一種安全風(fēng)險(xiǎn)。

性能：應(yīng)用程序服務(wù)器必須重新驗(yàn)證每一個(gè)Web服務(wù)調(diào)用。而且，因?yàn)榭诹钍窍⒌囊徊糠�，那么即使消息并沒(méi)有包含敏感信息也必須加密。

為了演示UsernameToken身份驗(yàn)證，下面的例子重新使用了計(jì)算器服務(wù)的例子。你必須配置應(yīng)用程序服務(wù)器以支持UsernameToken的安全，并且指定一個(gè)LDAP來(lái)驗(yàn)證用戶的證書。配置步驟是與特定服務(wù)器相關(guān)的，因此請(qǐng)參考你的服務(wù)器的相關(guān)文檔。筆者用WebSphere 6.1和活動(dòng)目錄測(cè)試了這個(gè)例子。

你必須增加一個(gè)WSS4J SOAP處理程序，以支持客戶端支持在報(bào)頭中發(fā)送UsernameToken。下面的客戶端代碼在調(diào)用Web服務(wù)之前，先調(diào)用configureClientHandlers方法：

public static void main(String[] args) throws MalformedURLException {
CalculatorServiceClient sc = new CalculatorServiceClient();
Calculator calc = sc.getCalculator(UT_ENDPOINT);
configureClientHandlers(calc);
float a = 5f;
float b = 7f;
System.out.println(a + " * " + b + " = " + calc.multiply(a,b));
}

configureClientHandlers方法創(chuàng)建一個(gè)新的擁有UsernameToken 屬性的WSS4JoutHandler處理程序。下面的configureUsernameToken方法指定了屬性：

private static void configureClientHandlers(Object svc) {
Client client=Client.getInstance(svc);
client.addOutHandler(new DOMOutHandler());
Properties properties = new Properties();
// Configure the UsernameToken properties
configureUsernameToken(properties);
client.addOutHandler(new WSS4JOutHandler(properties)); 
}
protected static void configureUsernameToken(Properties config)
{
// UsernameToken Action
config.setProperty(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
// Clear Text Password
config.setProperty(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
// User name to send
config.setProperty(WSHandlerConstants.USER, "johndoe");
// Callback used to retrieve password for given user.
config.setProperty(WSHandlerConstants.PW_CALLBACK_CLASS, 
PasswordHandler.class.getName());
}

用戶證書代碼

口令從PasswordHandler中重新檢索。它將口令存儲(chǔ)在一個(gè)由用戶名索引的地圖中。下面是示例樣本的用戶證書代碼：

public class PasswordHandler implements CallbackHandler {
private Map passwords = new HashMap();
public PasswordHandler() {
passwords.put("johndoe", "abc123");
}
...
The following SOAP message is observed by the TCP/IP monitor after running the client: 
＜soap:Envelope ...＞
＜soap:Header＞
＜wsse:Security ...＞
＜wsse:UsernameToken ...＞
＜wsse:Username ...＞
johndoe
＜/wsse:Username＞
＜wsse:Password ...＞
abc123
＜/wsse:Password＞
＜/wsse:UsernameToken＞
＜/wsse:Security＞
＜/soap:Header＞
＜soap:Body＞
＜multiply xmlns="http://ejb.security.ws.dev.com"＞
＜a＞5.0＜/a＞
＜b＞7.0＜/b＞
＜/multiply＞
＜/soap:Body＞
＜/soap:Envelope＞

本新聞共6頁(yè),當(dāng)前在第4頁(yè) 1 2 3 4 5 6

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Web服務(wù)器訪問(wèn)失敗故障處理技巧

·Web服務(wù)器維護(hù)和安全管理技巧3則

·十個(gè)步驟打造安全的個(gè)人Web服務(wù)器

·教你打好WEB服務(wù)器安全攻堅(jiān)戰(zhàn)

·緊急處理Web服務(wù)器訪問(wèn)失敗故障

·Web服務(wù)器安裝和運(yùn)行FTP操作步驟

·Web服務(wù)器啟用并運(yùn)行FTP服務(wù)

·保護(hù)Web服務(wù)器從數(shù)據(jù)庫(kù)開始

·保障Web服務(wù)器安全的六個(gè)步驟

·Web服務(wù)器的啟用并運(yùn)行FTP服務(wù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费