我正在尝试基于 JAX-WS(使用 JBoss AS 7.1.1)构建一个肥皂服务,并且我还需要实现安全性。数据将是敏感的,因此它将通过 HTTPS。但是,我需要确定客户,并确保只有他们才能为他们的组织执行操作。
从外观上看,我在 JBoss 文档(和其他 JAX-WS 提供程序文档)上看到的所有内容都表明需要编辑多个 .xml 文件(一些在应用服务器层)。
我真的在寻找一种方法,我可以在我的服务中使用 SOAP 标头调用一个类,并且我可以在那里执行验证/身份验证/授权。非常感谢有人能够指出我正确的方向。
您始终可以随请求显式发送身份验证数据(例如,除了普通参数之外的用户和密码)。您必须确保连接已加密。
您可以通过使用公钥/私钥来优化它:首先服务器发送其公钥,客户端使用该公钥加密用户/密码,然后服务器可以使用其私钥对其进行解密。由于这在请求的基础上可能过于昂贵,因此服务器可以在一段时间内发出令牌,客户端可以在以下请求中发送该令牌(因此令牌是建立会话的一种手段)。
话虽如此,而且我知道有时 JBoss 安全设置有多么繁琐,您必须非常仔细地实施和测试它,否则您可能会打开一些安全漏洞(令牌可能会泄漏,会话可能被捕获,令牌失效,SSL 连接在Web 服务器,明文密码保留在 RAM 中并在磁盘上被调出等)。