近來因業務需要,需要研究webservice,於是便有這篇文章:
SpringBoot整合Apache-CXF實踐
一、WebService是什麼?
WebService是一個平臺獨立的、低耦合的、自包含的、基於可程式設計的web的應用程式,可使用開放的XML(標準通用標記語言下的一個子集)標準來描述、釋出、發現、協調和配置這些應用程式,用於開發分散式的互動操作的應用程式。
簡單概括如下:
WebService是一種跨平臺,跨語言的規範,用於不同平臺,不同語言開發的應用之間的互動。
二、Webservice安全機制有哪些?
由於我之前從未實際接觸過WebService,對於它的安全機制不瞭解。於是通過搜尋,我得到了關於它的安全機制一些建議:
-
(1)對webservice釋出的方法,方法名稱和引數不要使用望文生義的描述;
-
(2)對webservice釋出的方法,在入參中增加一個或多個字串序列(這裡的字串可以要求必須滿足指定的格式,同時字串可以再通過客戶端傳引數的時候加密,服務端解密);
-
(3)對webservice釋出的方法,入參中加上使用者名稱和密碼,然後服務端通過資料庫校驗;
-
(4)對webservice釋出的方法,通過handler/chain方式來實現驗證(使用者名稱&密碼校驗/IP地址校驗等);
-
(5)對webservice釋出的方法,採用webservice的users.lst來進行驗證;
-
(6)對webservice釋出的服務,通過servlet的Filter來實現驗證;
-
(7)對webservice傳輸過程中的資料進行加密;
-
(8)自己寫校驗框架來實現webservice的安全;
-
(9)其它方式.
上述是搜尋方面出現畢竟頻繁的,也是webservice比較普遍的方式之一。
我思慮再三決定結合以往開發HTTP應用安全經驗和現有參考WebService安全機制結合起來。
於是便有了如下的安全機制方案:
- Token鑑權機制;
- 公私鑰簽名校驗;
- IP白名單校驗.
三、如何實現Token鑑權、公私鑰簽名校驗、IP白名單校驗等WebService安全方案呢?
本次程式碼已同步到我的Apache CXF程式碼例子裡了,Github地址為:
https://github.com/developers-youcong/blog-cxf
核心程式碼,關鍵在於攔截器
package com.blog.cxf.server.interceptor; import cn.hutool.core.util.StrUtil; import com.blog.cxf.server.security.SecretKey; import com.blog.cxf.server.utils.IpUtils; import lombok.extern.slf4j.Slf4j; import org.apache.cxf.binding.soap.SoapMessage; import org.apache.cxf.headers.Header; import org.apache.cxf.interceptor.Fault; import org.apache.cxf.message.Message; import org.apache.cxf.phase.AbstractPhaseInterceptor; import org.apache.cxf.phase.Phase; import org.apache.cxf.phase.PhaseInterceptorChain; import org.apache.cxf.transport.http.AbstractHTTPDestination; import org.springframework.stereotype.Component; import org.w3c.dom.Element; import org.w3c.dom.Node; import org.w3c.dom.NodeList; import javax.servlet.http.HttpServletRequest; import java.util.HashSet; import java.util.List; import java.util.Properties; import java.util.Set; /** * @description: 認證鑑權攔截器 * @author: youcong * @time: 2020/10/31 17:07 */ @Slf4j @Component public class AuthInterceptor extends AbstractPhaseInterceptor<SoapMessage> { public AuthInterceptor() { super(Phase.PRE_INVOKE); } public void handleMessage(SoapMessage msg) throws Fault { Message ipVerify = PhaseInterceptorChain.getCurrentMessage(); HttpServletRequest request = (HttpServletRequest) ipVerify.get(AbstractHTTPDestination.HTTP_REQUEST); //處理IP handleIp(request); Header authHeader = null; //獲取驗證頭 List<Header> headers = msg.getHeaders(); if (headers.isEmpty()) { throw new Fault(new Exception("請求頭為空")); } for (Header h : headers) { log.info("h:" + h.getName().toString().contains("auth")); if (h.getName().toString().contains("auth")) { authHeader = h; break; } else { throw new Fault(new Exception("請求頭需包含auth")); } } Element auth = (Element) authHeader.getObject(); NodeList childNodes = auth.getChildNodes(); Set<String> reqHeader = new HashSet<String>(); for (int i = 0; i < childNodes.getLength(); i++) { //處理節點 handleNode(childNodes.item(i), reqHeader); } //處理請求Key handleSOAPReqHeader(reqHeader); } //處理IP private void handleIp(HttpServletRequest request) { String[] ip_arr = new String[]{"127.0.0.1", "192.168.52.50"}; for (String str : ip_arr) { System.out.println("ip:" + str); } Set<String> ipSet = new HashSet<String>(); for (String item : ip_arr) { ipSet.add(item); if (ipSet.contains(IpUtils.getIpAddr(request))) { log.info("合法IP:" + item); } else { throw new Fault(new Exception("非法IP")); } } } //處理節點 private void handleNode(Node items, Set<String> reqHeader) { Node item = items; //儲存請求頭Key if (item.getLocalName() != null) { String str = new String(item.getLocalName()); reqHeader.add(str); } //獲取請求頭token if (item.getNodeName().contains("token")) { String tokenValue = item.getTextContent(); if (!StrUtil.isEmpty(tokenValue)) { if ("soap".equals(tokenValue)) { log.info("token Value:" + tokenValue); } else { throw new Fault(new Exception("token錯誤")); } } else { throw new Fault(new Exception("token不能為空")); } } //獲取請求頭sign if (item.getNodeName().contains("sign")) { String signValue = item.getTextContent(); if (!StrUtil.isEmpty(signValue)) { //原資料 String originData = "test_webservice_api_2020"; try { //比對簽名 boolean verifySign = SecretKey.verifySign(originData, signValue); log.info("verifySign:" + verifySign); if (verifySign) { log.info("sign Value:" + signValue); } else { throw new Fault(new Exception("簽名錯誤")); } } catch (Exception e) { throw new Fault(new Exception("簽名錯誤")); } } else { throw new Fault(new Exception("簽名不能為空")); } } } //處理SOAP請求頭Key private void handleSOAPReqHeader(Set<String> reqHeader) { if (reqHeader.contains("token")) { log.info("包含token"); } else { throw new Fault(new Exception("請求頭auth需包含token")); } if (reqHeader.contains("sign")) { log.info("包含sign"); } else { throw new Fault(new Exception("請求頭auth需包含sign")); } } }
1.Token鑑權的目的是什麼?
每個使用者生成的token不一樣,獲取token的介面是需要對應的使用者名稱和密碼,通過使用者名稱和密碼產生token,token放在請求頭裡,後臺可根據token識別是哪個使用者請求哪個介面,後面日誌儲存會提到的。
2.Token的生成有哪些方案?
可以參考我寫的這篇文章:SpringCloud之Security
這篇文章我結合了JWT。
除此之外還可以結合某種規則(使用者名稱+密碼+特殊UUID+使用者註冊碼)生成加密的token。
3.簽名的目的是什麼?
為了資料安全和防止重複提交。
4.如何實現簽名?
簽名的規則有很多,可以增加某種證照公私鑰,也可以時間戳。
5.為什麼需要IP白名單校驗?
主要是為了安全,防止非法IP不停的請求,造成惡意攻擊(如DOS攻擊和DDOS攻擊等)。
6.IP白名單校驗有哪些方案?
可以將IP白名單放在對應的資料表中,也可以將其放到配置檔案裡,還可以將其存一個陣列中(就像我在上述程式碼所寫的那樣)。
7.開始測試
(1)非法IP請求(不在陣列內的IP)
(2)攜帶錯誤的Token請求
(3)攜帶錯誤的簽名請求
(4)正確請求(token正確、簽名正確、IP合法)
8.證照生成方案(公私鑰)
這一塊我主要參考了這篇文章,這篇文章很完整,大家可以參考一下:
Java 證照(keytool例項)程式碼實現加解密、加簽、驗籤
生成證照核心兩條命令,如下(注意,其中的密碼之類的,改成自己的):
## 生成私鑰 keytool -genkey -alias yunbo2 -keypass 123456 -keyalg RSA -keysize 1024 -validity 3650 -keystore merKey.jks -storepass abc@2018 -dname "CN=localhost,OU=localhost, O=localhost, L=深圳, ST=廣東, C=CN" ## 生成公鑰 keytool -export -alias yunbo2 -keystore merKey.jks -file yunbo2.cer
9.資料加密
資料加密主要體現在對請求體內的資料進行base64加密或者是其他的加密方式。
10.補充說明
之前搜尋了不少文章提到過,請求頭或者請求體傳輸使用者名稱和密碼,我個人覺得使用者名稱和密碼傳輸太過頻繁並不安全,因此我選擇了token,選擇了多一步(通過使用者名稱和密碼拿到token,再通過token請求對其它業務webservice等)。
四、總結
技術往往有很多相似之處,可以複用和借鑑。之前在研究Apache CXF安全機制的時候,發現並沒有那麼多的資料可供參考,於是我換了一個思路,Apache CXF框架本質上就是對WebService簡化,方便開發人員使用而不用配置一堆東西。我把核心聚焦在webservice安全,然後在發散,就有了這篇文章。
簡單的概括一點:
遇到難題不要鑽牛角尖,可以嘗試換一個思路(發散自己的思維)來解決這個難題。