cxf安全验证不知从何做起,看了很多ws-security的demo感觉越看越糊涂。

小文大哥哥 发布于 2012/04/06 16:31
阅读 1K+
收藏 0

各位好, 最近遇到关于cxf安全性验证的问题, 看过很多ws-security的demo基本都是一样的,没有任何进展。英文不好,所以进展很慢,看官方文档基本看不懂。

纠结的地方有这些:

第一,使用usernameToken方式验证看过的demo基本都是在回调函数里面直接set用户名和密码,而我想问,如果是客户端调用如何给回调函数set用户名和密码。

第二,数字签证方法。使用密钥,生成一对密钥 公钥/私钥。 公钥保留在服务端,私钥存放在客户端,想问的是,是否所有的客户端都是使用同一个私钥。

其他关于什么SSL,HTTPS看了半天看不懂(网络知识很差,初涉Webservice)如果大家有其他的好方法多谢赐教。

恕我愚钝,如果问的问题很浅薄,勿喷。欢迎各位指点迷津。再次感谢。

加载中
0
小文大哥哥
小文大哥哥
没人给点意见与提示吗?急啊!
0
景愿
景愿

其实参数里多个token也是可以接受的,干嘛非的弄什么ssl啊,https啊,security啊

通用性还更强呢

景愿
景愿
回复 @郑少文(jacob) : 有何不可,除非你的webservice涉及到了钱的问题?
小文大哥哥
小文大哥哥
回复 @Liuxey : 敢问实际项目中就是这样搞的吗???
景愿
景愿
回复 @郑少文(jacob) : yes
小文大哥哥
小文大哥哥
你意思是每次请求的操作都带一个username和password的属性?
0
bayer
bayer

第一问题:

1. 客户端实现UsernameToken, 必须在发送请求时加入拦截器WSS4JOutIntercepter, 构造WSS4JOutIntercepter实例, 需要一个Map<String, Object> outProps; 在客户端发起请求时, outProps里可以存放键值对user->"aUsername", 以此来向WebService服务端提供用户名;

2.客户端的WSS4JOutIntercepter中还必须包括一个你所提到的"回调函数", 在回调函数中, 我们能得到的只有pc.getIdentifier(), 也就是用户的用户名; 你可以通过不同的用户名来匹配不同的密码;

第二个问题, 也是我想进一步了解的; 从目前我掌握的情况, 似乎是不同的用户对应不同的jsk和keyPair的...

期待你在未来的探索和交流.

1.

返回顶部
顶部