웹 서비스 호출에서 사용자 이름과 암호 사용

Question

응답을 제공하기 전에 내부 인증을 위해 호출자로부터 사용자 이름과 암호를 받아야하는 Java 웹 서비스를 작성 중입니다. 표준 방법 (또는 모범 사례)은 무엇입니까? SOAP 헤더에 있거나 메시지 매개 변수 중 하나로 제공해야합니까? 이를위한 코드 예제는 어디에서 찾을 수 있습니까? 고맙습니다.

Answer 1

일반적으로 사용자 이름과 비밀번호는 http 헤더에서 일부로 전송됩니다 .JAX-WS는 서버에서 이러한 속성을 쉽게 처리 할 수 ​​있도록 상수 USERNAME_PROPERTY 및 PASSWORD_PROPERTY를 제공합니다.이 값에 액세스하려면 http 핸들러를 작성해야합니다.

void authenticate(HttpExchange ex){ 
    Headers headers = ex.getRequestHeaders(); 
headers.get(BindingProvider.USERNAME_PROPERTY) 
headers.get(BindingProvider.PASSWORD_PROPERTY) 
} 

Httphandler의 public void handle(HttpExchange ex) 메서드에서이 메서드를 호출하십시오.

Answer 2

SOAP 헤더의 보안 정보를 제공 WS-Security를 사용하는 사용자 이름과 암호를 제공하는 표준 방법 :

<SOAP-ENV:Header> 
    <wsse:Security SOAP-ENV:mustUnderstand="1" 
    xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> 
    <wsse:UsernameToken 
     wsu:Id="UsernameToken-29477163" 
     xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"> 
     <wsse:Username>username</wsse:Username> 
     <wsse:Password>verySecret</wsse:Password> 
    </wsse:UsernameToken> 
    </wsse:Security> 
</SOAP-ENV:Header> 

WSS4J 자바에 대한 WS-보안 헤더를 구현합니다.

Answer 3

저는 이러한 종류의 java5 EE 자습서를 좋아합니다. 코드 샘플과 리소스에 대한 링크가 있습니다. http://download.oracle.com/javaee/5/tutorial/doc/bncbx.html

더 깊이있는 보안 측면을위한 또 다른 좋은 웹 사이트는 다음과 같습니다. OWasp at : https://www.owasp.org/index.php/Main_Page 그들은 웹 보안 IMHO의 전문가입니다. 최근에 일한 은행에서 API를 사용했습니다.

HTH, 제임스