基于实施第覆盖

基于XFire实施WS-Security(第一部分)

使用用户名/密码进行身份认证

对SOAP报文进行身份认证的方式很多，不过都是通过在SOAP报文头中添加一些安全凭证(Security Token)信息来完成的，主要包括以下一些身份凭证：

用户名/密码； X.509 证书； Kerberos 票据和认证者； SIM 卡的移动设备安全性凭证。 其中用户名/密码是最简单的身份认证方式，它不需要密钥、数字证书，所以也就不需要CA，部署实施简单易行。下面我们就通过例子讲解如何进行基于用户名/密码的SOAP认证。这个实例让客户端提供用户名/密码，服务端验证客户端的身份，而客户端按正常方式接收SOAP响应报文。

服务端服务端创建一个l，让BbtForumService拥有用户名/密码的认证功能。

代码清单1 l：身份认证

beans

import resource=\"classpath:org/codehaus/xfire/spring/l\" /

bean id=\"baseWebService\"class=\"ireExporter\"

lazy-init=\"false\" abstract=\"true\"

property name=\"serviceFactory\" ref=\"rviceFactory\" /

property name=\"xfire\" ref=\"xfire\" /

/bean

bean parent=\"baseWebService\"

property name=\"serviceBean\" ref=\"bbtForum\" /

property name=\"serviceClass\"

value=\"tForumService\" /

property name=\"name\" value=\"BbtForumServiceUT\"/①Web Service名称

这让有防辐射意识的人们万分纠结。一位准妈妈在反复看了央视的报道后 property name=\"inHandlers\"

list

ref bean=\"domInHandler\" /②负责将STAX流模型的SOAP转换为DOM模型

ref bean=\"wss4jInHandler\" /③对用户名/密码进行检查

/list

/property

/bean

bean id=\"domInHandler\"class=\"MInHandler\" /

bean id=\"wss4jInHandler\"class=\"S4JInHandler\"

property name=\"properties\"

props

prop key=\"action\"UsernameToken/prop④指定认证类型

prop key=\"passwordCallbackClass\"⑤指定一个密码回调实现类

PasswordHandler

/prop

/props

/property

/bean

bean id=\"bbtForum\" class=\"tForum\" /

/beans