建立安全的AXIS服务上

建立安全的AXIS服务
在前面的文章中，我们实现了最简单的AXIS服务。现在我们一起来讨论一下Web服务的安全问题。
根据应用的对安全要求的级别不同，可以采用不同的方式来实现安全性，以下是目前最常用的一些实现方式（从低到高排列）：
1、J2EE Web应用默认的访问控制（数据是明文的）；
2、使用axis的Handler进行访问控制（数据是明文的）；
3、使用Servlet过滤器（Filter）进行访问控制（数据是明文的）；
4、使用SSL/HTTPS协议来传输（加密的数据传输协议）；
5、使用WS-Security规范对信息进行加密与身份认证（数据被加密传输）。
我们仅讨论第2、4、5种实现方式。在此之前我们先来了解一下AXIS自带的一个工具SOAPMonitor。
一、SOAPMonitor的使用
打开http://localhost:8080/axis/进入AXIS的主页面，你会看见：
SOAPMonitor-[disabled by default for security reasons] ，默认状态下其是不可用的，现在我们就来激活它。

1、到目录%TOMCAT_HOME%webappsaxis下，你会找到SOAPMonitorApplet.java，在命令行中编译它：
javac -classpath %AXIS_HOME%libaxis.jar SOAPMonitorApplet.java
编译完之后你会看见目录下多了很多CLASS文件，它们的名字是SOAPMonitorApplet*.class

2、在目录%TOMCAT_HOME%webappsaxisWEB-INF下打开server-config.wsdd文件，将下面的两部分代码直
接加入其中相应的位置
第一部分：






第二部分：






3、选择你要监控的服务
以上次的HelloWorld服务为例，在server-config.wsdd中你会找到这段代码




在这段代码中加入以下的代码：






最后的样子是：










这样HelloWorld服务就被监控了

4、启动Tomcat,打开http://localhost:8080/axis/SOAPMonitor，你就会看到Applet界面，在
jbuilder2005中运行我们上次写的客户端程序 TestClient.java。OK！你会在Applet界面看
见客户端与服务器端互发的XML内容，注意这里是明文！

二、使用axis的Handler进行访问控制（对安全要求不高时推荐）
axis为Web服务的访问控制提供了相关的配置描述符，并且提供了一个访问控制的简单 Handler。默认情况下，你只要在配置描述符中添加用户，然后在Web服务器的部署描述符中自动允许的角色即可。

1、在axis的配置文件users.lst（位于WEB-INF目录下）中添加一个用户，如"ronghao1111"，表示
用户名为ronghao，密码为1111。

2、把例HelloWorld的Web服务重新部署（新加的部分已标出）



//新加的AXIS自带的Handler





//注意，这里是新加的部分！


在这个部署描述符中，指定HelloWorld服务只能被ronghao访问

3、修改客户端程序 TestClient.java，增加访问用户名、密码（新加的部分已标出）
TestClient.java

import org.apache.axis.client.Call;
import org.apache.axis.client.Service;
import javax.xml.rpc.ParameterMode;

public class TestClient
{
public static void main(String [] args) throws Exception {
String endpoint = "http://localhost:" +"8080"+ "/axis/HelloWorld";

Service service = new Service();
Call call = (Call) service.createCall();
call.getMessageContext().setUsername("ronghao");// 用户名。
call.getMessageContext().setPassword("1111");// 密码
call.setTargetEndpointAddress( new java.net.URL(endpoint) );

call.setOperationName( "sayHello" );
String res = (String) call.invoke( new Object[] {} );

System.out.println( res );
}
}
执行TestClient，能够顺利访问Web服务；如果修改用户名或者密码，那么就不能访问 。同样，
你在http://localhost:8080/axis/SOAPMonitor中看到的请求和响应的XML是明文！

三、使用SSL/HTTPS协议来传输
Web服务也可以使用SSL作为传输协议。虽然JAX-RPC并没有强制规定是否使用SSL协议，但在tomcat
下使用HTTPS协议。
1、使用JDK自带的工具创建密匙库和信任库。

1）通过使用以下的命令来创建服务器端的密匙库：
keytool -genkey -alias Server -keystore server.keystore -keyalg RSA
输入keystore密码： changeit
您的名字与姓氏是什么？
[Unknown]： Server
您的组织单位名称是什么？
[Unknown]： ec
您的组织名称是什么？
[Unknown]： ec
您所在的城市或区域名称是什么？
[Unknown]： beijing
您所在的州或省份名称是什么？
[Unknown]： beijing
该单位的两字母国家代码是什么
[Unknown]： CN
CN=Server, OU=ec, O=ec, L=beijing, ST=beijing, C=CN 正确吗？
[否]： y

输入