Spring Security for SOAP web services - 基于令牌的身份验证

【问题标题】:Spring Security for SOAP web services- Token based authenticationSpring Security for SOAP web services - 基于令牌的身份验证
【发布时间】:2013-09-25 14:24:00
【问题描述】:

我正在使用 spring-ws 框架开发 SOAP Web 服务,它需要实现 Web 服务访问的身份验证。我正在尝试实现基于令牌的身份验证,如下所示。

  1. 有一个单独的 Web 方法来进行用户身份验证。如果用户凭据有效,系统生成的令牌将返回给客户端。令牌的有效期有限。

  2. 当用户访问其他网络方法时,需要向用户名提供身份验证方法返回的有效令牌。

  3. 令牌过期后,用户需要通过身份验证Web服务一次又一次地获取有效令牌。

请指教,spring框架中有哪些可用的方法来实现这样的场景。由于我对 Spring Web 服务安全性比较陌生,所以如果我能有关于如何实现的简单指南就更好了。

谢谢。

【问题讨论】:

    标签: spring soap spring-security spring-ws


    【解决方案1】:

    在这里您可以使用Wss4jSecurityInterceptor - 一个EndpointInterceptor,可用于对请求消息执行安全操作(当然是在调用端点之前)

    <bean class="org.springframework.ws.soap.security.wss4j.Wss4jSecurityInterceptor">
  <property name="validationActions" value="UsernameToken Encrypt" />
</bean>

    【讨论】:

    • 我需要另一个建议。我想知道如何以编程方式将自定义令牌添加到soap响应标头而不是设置属性。
    • 创建一个扩展 EndpointInterceptorAdapter 的新拦截器,并在 handleResponse 方法中添加自定义标头。看看这个question
    猜你喜欢
    • 2017-07-10
    • 2017-09-14
    • 2014-03-26
    • 2017-04-19
    • 1970-01-01
    • 1970-01-01
    • 2020-03-03
    • 2013-02-11
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode