Web Service学习-CXF开发Web Service的权限控制（二）

Web Service怎样进行权限控制？

解决思路：server端要求input消息总是携带实username。password信息，假设没实username和password信息。直接拒绝调用

解决方式：拦截器

为了让程序猿能訪问，并改动CXF框架所生成的SOAP消息，CXF提供了拦截器

CXF（Celtix +XFire）说明：

假设不用CXF等框架，SOAP消息的生成。解析都是由程序猿负责。不管是加入username。password信息还是提取username，password信息，都可由程序猿代码完毕。

假设使用CXF等框架，SOAP消息的生成，解析都是由CXF等框架来完毕。

总的来说，CXF对公布WebService进行了封装，简化了我们的操作。

拦截器：

服务端加入拦截器：

1，获取Endpoint的publish的方法返回值。

2，调用该对象的getInInterceptors，getOutInterceptors方法来获取In。Out拦截器列表，接下来就能够加入拦截器了

package com.tgb.client;

import javax.xml.ws.Endpoint;

import org.apache.cxf.interceptor.LoggingInInterceptor;
import org.apache.cxf.interceptor.LoggingOutInterceptor;
import org.apache.cxf.jaxws.EndpointImpl;

import com.tgb.service.HelloWorld;
import com.tgb.service.impl.HelloWorldImpl;

public class ServerMain {

	public static void main(String[] args){

		HelloWorld hw=new HelloWorldImpl();
		//调用endpoint的publish方法。来公布web service
//		Endpoint.publish("http://192.168.24.215:8889/hjy",hw);
		EndpointImpl ep=(EndpointImpl)Endpoint.publish("http://192.168.24.215:8899/hjy",hw);

		//加入In拦截器
		ep.getInInterceptors().add(new LoggingInInterceptor());
		//加入Out拦截器
		ep.getOutInterceptors().add(new LoggingOutInterceptor());

		System.out.println("Web Service暴露成功");
	}
}

输出内容：

客户端加入拦截器：

1，加入对应的CXF的jar包

2，调用ClientProxy的getClient方法，调用该方法以远程Web Service的代理为參数

3，调用Client对象的getInInterceptors。getOutInterceptors方法来获取In。Out拦截器列表，接下来就能够加入拦截器了

package hjy;

import java.util.List;

import org.apache.cxf.endpoint.Client;
import org.apache.cxf.frontend.ClientProxy;
import org.apache.cxf.interceptor.LoggingInInterceptor;
import org.apache.cxf.interceptor.LoggingOutInterceptor;

import com.tgb.service.Cat;
import com.tgb.service.HelloWorld;
import com.tgb.service.User;
import com.tgb.service.impl.HelloWorldImpl;

public class ClientMain {

	public static void main(String[] args){
		HelloWorldImpl factory=new HelloWorldImpl();
		//此处返回的仅仅是远程Web Service的代理
		HelloWorld hw=factory.getHelloWorldImplPort();

		Client client=ClientProxy.getClient(hw);
		client.getInInterceptors().add(new LoggingInInterceptor());
		client.getOutInterceptors().add(new LoggingOutInterceptor());

		System.out.println(hw.sayHi("hejingyuan"));

		System.out.println("--------------------------");

		User user=new User();
		user.setId(20);
		user.setName("孙悟空");
		user.setPass("111");
		user.setAddress("花果山");

		List<Cat> cats=hw.getCatsByUser(user);
		for(Cat cat:cats){
			System.out.println(cat.getName());
		}

		System.out.println("--------------------------");

		System.out.println(hw.getAllCats().getEntry().get(0).getKey());
		System.out.println(hw.getAllCats().getEntry().get(0).getValue().getName());

	}
}

打印内容为：

自己定义拦截器

实现效果：当输入usernamepassword时。才干够调用我们的服务。

即我们须要在服务端加入输入拦截，在客户端加入输出拦截

自己定义拦截器，须要实现Interceptor接口，实际上，我们通常会继承AbstractPhaseInterceptor

服务端代码：

package com.tgb.client;

import javax.xml.ws.Endpoint;

import org.apache.cxf.interceptor.LoggingInInterceptor;
import org.apache.cxf.interceptor.LoggingOutInterceptor;
import org.apache.cxf.jaxws.EndpointImpl;

import com.tgb.auth.AuthInterceptor;
import com.tgb.service.HelloWorld;
import com.tgb.service.impl.HelloWorldImpl;

public class ServerMain {

	public static void main(String[] args){

		HelloWorld hw=new HelloWorldImpl();
		//调用endpoint的publish方法，来公布web service
//		Endpoint.publish("http://192.168.24.215:8889/hjy",hw);
		EndpointImpl ep=(EndpointImpl)Endpoint.publish("http://192.168.24.215:8891/hjy",hw);

		//加入In拦截器,该AuthInterceptor就会负责检查username。password是否正确
		ep.getInInterceptors().add(new AuthInterceptor());
		//加入Out拦截器
//		ep.getOutInterceptors().add(new LoggingOutInterceptor());

		System.out.println("Web Service暴露成功");
	}
}

AuthInterceptor ：

package com.tgb.auth;

import java.util.List;

import org.apache.cxf.binding.soap.SoapMessage;
import org.apache.cxf.headers.Header;
import org.apache.cxf.interceptor.Fault;
import org.apache.cxf.phase.AbstractPhaseInterceptor;
import org.apache.cxf.phase.Phase;
import org.w3c.dom.Element;
import org.w3c.dom.NodeList;

//通过PhaseInterceptor，能够指定拦截器在哪个阶段起作用
public class AuthInterceptor extends AbstractPhaseInterceptor<SoapMessage>{

	//因为AbstractPhaseInterceptor无无參数构造器，使用继承的方式，须要显示调用父类有參数的构造器
	public AuthInterceptor(){
		//super表示显示调用父类有參数的构造器
		//显示调用父类构造器之后，程序将不会隐式调用父类无參数的构造器
		super(Phase.PRE_INVOKE);//该拦截器将会调用之前拦截SOAP消息
	}
	//实现自己的拦截器时。须要实现handleMessage方法。
	//handleMessage方法中的形參就是被拦截到的Soap消息
	//一旦程序获取了SOAP消息，剩下的事情就能够解析SOAP消息或改动SOAP消息
	@Override
	public void handleMessage(SoapMessage msg) throws Fault {

		System.out.println("-------"+msg);
		//从这里能够看出，我们已经拦截到了SOAP消息

		//得到SOAP消息全部Header
		List<Header> headers=msg.getHeaders();

		//假设没有Header
		if(headers==null||headers.size()<1){
			throw new Fault(new IllegalArgumentException("根本没有Header，不能调用"));
		}

		//假如要求第一个Header携带了username，password信息
		Header firstHeader=headers.get(0);
		Element ele=(Element)firstHeader.getObject();

		NodeList userIds=ele.getElementsByTagName("userId");
		NodeList userPasses=ele.getElementsByTagName("userPass");

		if(userIds.getLength()!=1){
			throw new Fault(new IllegalArgumentException("username的格式不对。"));
		}
		if(userPasses.getLength()!=1){
			throw new Fault(new IllegalArgumentException("password的格式不对！"));
		}

		//得到第一个userId元素里的文本内容。以该内容作为username字
		String userId=userIds.item(0).getTextContent();
		String userPass=userPasses.item(0).getTextContent();
		//实际项目中。应该去查询数据库，该usernamepassword是否被授权调用web service
		if(!userId.equals("hejingyuan") || !userPass.equals("hjy")){
			throw new Fault(new IllegalArgumentException("usernamepassword不对！"));
		}
	}

}

客户端代码：

package hjy;

import java.util.List;

import org.apache.cxf.endpoint.Client;
import org.apache.cxf.frontend.ClientProxy;

import com.tgb.auth.AddHeaderInterceptor;
import com.tgb.service.Cat;
import com.tgb.service.HelloWorld;
import com.tgb.service.User;
import com.tgb.service.impl.HelloWorldImpl;

public class ClientMain {

	public static void main(String[] args){
		HelloWorldImpl factory=new HelloWorldImpl();
		//此处返回的仅仅是远程Web Service的代理
		HelloWorld hw=factory.getHelloWorldImplPort();

		Client client=ClientProxy.getClient(hw);
		//參数为输入的username。password
		client.getOutInterceptors().add(new AddHeaderInterceptor("hejingyuan","hjy"));

		System.out.println(hw.sayHi("hejingyuan"));

		System.out.println("--------------------------");

		User user=new User();
		user.setId(20);
		user.setName("孙悟空");
		user.setPass("111");
		user.setAddress("花果山");

		List<Cat> cats=hw.getCatsByUser(user);
		for(Cat cat:cats){
			System.out.println(cat.getName());
		}

		System.out.println("--------------------------");

		System.out.println(hw.getAllCats().getEntry().get(0).getKey());
		System.out.println(hw.getAllCats().getEntry().get(0).getValue().getName());

	}
}

AddHeaderInterceptor：

package com.tgb.auth;

import java.util.List;

import javax.xml.namespace.QName;

import org.apache.cxf.binding.soap.SoapMessage;
import org.apache.cxf.headers.Header;
import org.apache.cxf.helpers.DOMUtils;
import org.apache.cxf.interceptor.Fault;
import org.apache.cxf.phase.AbstractPhaseInterceptor;
import org.apache.cxf.phase.Phase;
import org.w3c.dom.Document;
import org.w3c.dom.Element;

public class AddHeaderInterceptor extends AbstractPhaseInterceptor<SoapMessage>{

	private String userId;
	private String userPass;

	public AddHeaderInterceptor(String userId,String userPass){
		super(Phase.PREPARE_SEND);//在准备发送SOAP消息时启用该拦截器
		this.userId=userId;
		this.userPass=userPass;
	}
	@Override
	public void handleMessage(SoapMessage msg) throws Fault {
		List<Header> headers=msg.getHeaders();
		//创建Document对象
		Document doc=DOMUtils.createDocument();
		Element ele=doc.createElement("authHeader");

		//此处创建的元素应该依照server那边的要求
		Element idEle=doc.createElement("userId");
		idEle.setTextContent(userId);
		Element passEle=doc.createElement("userPass");
		passEle.setTextContent(userPass);

		ele.appendChild(idEle);
		ele.appendChild(passEle);

		/**
		 * 上面代码生成了一个例如以下XML文档片段
		 * <authHeader>
		 * 		<userId>hejingyuan</userId>
		 * 		<userPass>hjy</userPass>
		 * </authHeader>
		 */
		//把ele元素包装成Header，并加入到SOAP消息的Header列表中
		headers.add(new Header(new QName("hejingyuan"),ele));
	}

}

启动服务端的ServerMain的main函数。将服务公布。然后启动客户端ClientMain的main函数去訪问服务端提供的服务。

usernamepassword错误时：

usernamepassword正确时：

总结：

权限控制的实现方式为使用拦截器。对于拦截到的Soap消息进行改动。

SOAP消息：

根元素是Envolope

Header

默认情况下。Header元素不是强制出现的

Header元素由程序猿控制加入，主要用户携带一些额外的信息。比方username，password信息

Body

假设调用正确，Body元素的内容应该遵守WSDL所要求的格式

假设调用错误。Body元素的内容就是Fault子元素

源代码下载