基于XFire实施WS-Security(第三部分)

基于XFire实施WS-Security(第一部分)

基于XFire实施WS-Security(第二部分)

对SOAP报文体进行加密

虽然通过数字签名解决了完整性和不可抵赖性的安全问题，但报文体还是以明文的方式进行发送，在传输过程中，报文的内容有可能被监视，保密性得不到保证。

如果报文体中包含了一些敏感的内容，则发送者希望报文的内容能以加密的方式进行传输，防止窥视。通过对SOAP报文体进行加密，即可解决保密性的问题。

客户端使用服务端的公钥对请求SOAP报文进行加密，服务端公钥包含在服务端的数字证书中。clientStore.jks中服务端数字证书的别名为server，访问服务端数字证书无须密码。服务端需要使用私钥进行解密，服务端私钥包含在服务端的密钥对中，在serverStore.jks中服务端密钥对的别名为server，访问私钥的密码为serverpass。

在XFire中对SOAP报文体进行加密解密需要解决的主要就是注册相应的Handler，并为其提供相应的访问密钥的信息。

服务端

服务端处理加密的SOAP请求报文前，需要通过Handler将其解密。解密的操作需要访问serverStore.jks的server私钥，所以要进行相应的配置：

代码清单17 applicationContext-ws-security.xml：报文加密

<bean id="bbtForumServiceEnc" parent="baseWebService">

<property name="serviceBean" ref="bbtForum"/>

<property name="serviceClass"

value="com.baobaotao.xfire.server.BbtForumService"/>

<property name="name" value="BbtForumServiceEnc" />

<property name="inHandlers">

<list>

<ref bean="domInHandler"/>

<ref bean="wss4jInHandlerEnc"/>

</list>

</property>

</bean>

<bean id="wss4jInHandlerEnc" class="org.codehaus.xfire.security.wss4j.WSS4JInHandler">

<property name="properties">

<props>

<prop key="action">Encrypt</prop>①加密动作（因为是InHandler所以是解密）

②解密操作需要访问保存着server私钥的密钥库，

通过属性文件提供相应的配置信息

<prop key="decryptionPropFile">

com/baobaotao/xfire/wss4j/server/insecurity_enc.properties

</prop>

③ 通过密码回调类获得密钥对中私密的访问密码

<prop key="passwordCallbackClass">

com.baobaotao.xfire.wss4j.server.PasswordHandler

</prop>

</props>

</property>

</bean>

通过insecurity_enc.properties属性文件指定访问serverStore.jks的信息，包括访问密码和密钥库文件的位置，如下所示：

org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin

org.apache.ws.security.crypto.merlin.keystore.type=jks

org.apache.ws.security.crypto.merlin.keystore.password=storepass①密钥库访问密码

org.apache.ws.security.crypto.merlin.file=META-INF/xfire/serverStore.jks②密钥库文件位置

由于加密的SOAP请求报文本身包含了加密时所使用的server数字证书的信息，因此WSS4JInHandler可以获取数字证书对应的用户（即server密钥对的别名）。但访问私钥需要密码，所以还是必须提供一个密码回调类，以获取server私钥的访问密码，如代码清单17中③所示。PasswordHandler密码回调类如下所示：

代码清单18 PasswordHandler

package com.baobaotao.xfire.wss4j.server;

…

public class PasswordHandler implements CallbackHandler {

private static final Map<String,String> pwMockDB = new HashMap<String,String>();

static{

pwMockDB.put("server", "serverpass");

}

public void handle(Callback[] callbacks) throws WSSecurityException{

WSPasswordCallback callback = (WSPasswordCallback) callbacks[0];

String id = callback.getIdentifer();

callback.setPassword(pwMockDB.get(id));

}

}