選擇正確的Web服務器安全解決方案

http://www.yibo1263.com　2008/5/7 8:16:34 　來源:ccident 　編輯:張佳奇

UsernameToken 身份驗證

UsernameToken 身份驗證與HTTP身份驗證很相似，此時用戶保密信息在消息的頭部被傳送。UsernameToken被添加到SOAP的頭部，可能還會夾雜著一個散列的口令。這是一種加密的簡單形式，可以避免無限制地傳遞口令。應該使用傳輸級別或者消息級別的加密來保證用戶口令的保密性。

通過允許配置一個用于口令驗證的LDAP，應用程序服務器支持UsernameToken身份驗證。在應用程序服務器收到一個SOAP消息時，在將消息轉發(fā)給應用程序之前，它會通過LDAP驗證用戶證書的正確性。

請?zhí)砑用枋?src="/Files/BeyondPic/2008-5/7/1210043119656.gif"

　　由于其簡易性和在應用程序服務器中的廣泛支持，UsernameToken身份驗證是非常吸引人的。然而，在考慮將它部署到你的應用框架時，你必須清楚其限制條件：

會話狀態(tài): UsernameToken需要用戶名和口令在每一個Web服務的調用上都被傳遞。這暗示著如果客戶端經(jīng)常與該服務會話，客戶端必須要對口令進行緩存，而這會導致一種安全風險。

性能：應用程序服務器必須重新驗證每一個Web服務調用。而且，因為口令是消息的一部分，那么即使消息并沒有包含敏感信息也必須加密。

為了演示UsernameToken身份驗證，下面的例子重新使用了計算器服務的例子。你必須配置應用程序服務器以支持UsernameToken的安全，并且指定一個LDAP來驗證用戶的證書。配置步驟是與特定服務器相關的，因此請參考你的服務器的相關文檔。筆者用WebSphere 6.1和活動目錄測試了這個例子。

你必須增加一個WSS4J SOAP處理程序，以支持客戶端支持在報頭中發(fā)送UsernameToken。下面的客戶端代碼在調用Web服務之前，先調用configureClientHandlers方法：

public static void main(String[] args) throws MalformedURLException {
CalculatorServiceClient sc = new CalculatorServiceClient();
Calculator calc = sc.getCalculator(UT_ENDPOINT);
configureClientHandlers(calc);
float a = 5f;
float b = 7f;
System.out.println(a + " * " + b + " = " + calc.multiply(a,b));
}

configureClientHandlers方法創(chuàng)建一個新的擁有UsernameToken 屬性的WSS4JoutHandler處理程序。下面的configureUsernameToken方法指定了屬性：

private static void configureClientHandlers(Object svc) {
Client client=Client.getInstance(svc);
client.addOutHandler(new DOMOutHandler());
Properties properties = new Properties();
// Configure the UsernameToken properties
configureUsernameToken(properties);
client.addOutHandler(new WSS4JOutHandler(properties)); 
}
protected static void configureUsernameToken(Properties config)
{
// UsernameToken Action
config.setProperty(WSHandlerConstants.ACTION, WSHandlerConstants.USERNAME_TOKEN);
// Clear Text Password
config.setProperty(WSHandlerConstants.PASSWORD_TYPE, WSConstants.PW_TEXT);
// User name to send
config.setProperty(WSHandlerConstants.USER, "johndoe");
// Callback used to retrieve password for given user.
config.setProperty(WSHandlerConstants.PW_CALLBACK_CLASS, 
PasswordHandler.class.getName());
}

用戶證書代碼

口令從PasswordHandler中重新檢索。它將口令存儲在一個由用戶名索引的地圖中。下面是示例樣本的用戶證書代碼：

public class PasswordHandler implements CallbackHandler {
private Map passwords = new HashMap();
public PasswordHandler() {
passwords.put("johndoe", "abc123");
}
...
The following SOAP message is observed by the TCP/IP monitor after running the client: 
＜soap:Envelope ...＞
＜soap:Header＞
＜wsse:Security ...＞
＜wsse:UsernameToken ...＞
＜wsse:Username ...＞
johndoe
＜/wsse:Username＞
＜wsse:Password ...＞
abc123
＜/wsse:Password＞
＜/wsse:UsernameToken＞
＜/wsse:Security＞
＜/soap:Header＞
＜soap:Body＞
＜multiply xmlns="http://ejb.security.ws.dev.com"＞
＜a＞5.0＜/a＞
＜b＞7.0＜/b＞
＜/multiply＞
＜/soap:Body＞
＜/soap:Envelope＞

本新聞共6頁,當前在第4頁 1 2 3 4 5 6

【收藏】【打印】【進入論壇】

·Web服務器訪問失敗故障處理技巧

·Web服務器維護和安全管理技巧3則

·十個步驟打造安全的個人Web服務器

·教你打好WEB服務器安全攻堅戰(zhàn)

·緊急處理Web服務器訪問失敗故障

·Web服務器安裝和運行FTP操作步驟

·Web服務器啟用并運行FTP服務

·保護Web服務器從數(shù)據(jù)庫開始

·保障Web服務器安全的六個步驟

·Web服務器的啟用并運行FTP服務

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费