揭开WebLogic Web服务安全性的面纱

　2008-01-05 10:16:06　来源：WEB开发网　　　

核心提示：安全性是我们大多数客户优先考虑的问题，随着越来越多的客户采用Web服务，揭开WebLogic Web服务安全性的面纱，他们发现，他们需要了解如何保护Web服务，在客户端应用程序用来发送数据给JMS目的地的消息风格的Web服务中，负责处理SOAP消息的SOAP servlet是weblogic.soap.server.s

安全性是我们大多数客户优先考虑的问题。随着越来越多的客户采用Web服务，他们发现，他们需要了解如何保护Web服务，以及使用何种身份验证机制。为了保持Web服务的开放性并支持多种客户端类型，就必须了解如何处理Web服务的安全性问题。

本文深入幕后探讨了WebLogic Web服务的安全性问题。我将阐明如何保护WebLogic Web服务，身份验证如何工作，以及如何使用各种编程语言开发客户端来为WebLogic Web服务提供身份验证。

　　WebLogic Web 服务组件

以WebLogic Server作为宿主的Web服务是使用标准的J2EE组件（比如EJB和JMS）来实现的，并且作为标准的J2EE企业应用程序来打包。WebLogic Web服务使用简单对象访问协议（Simple Object access PRotocol ，SOAP）1.1作为消息格式，并使用HTTP 1.1作为连接协议。

Web服务运行时组件是一组创建Web服务所需的servlet和相关的基础架构。运行时的元素之一是一组用于处理来自客户端SOA请求的servlet。这些servlet包含在WebLogic Server发布中。运行时的另一个元素是Ant任务，它负责生成和组装WebLogic Web服务的所有组件。

WebLogic Web服务作为标准的J2EE企业应用程序来打包，它由以下非凡组件组成：

一个Web应用程序至少包含一个servlet，用于发送SOAP消息给客户端和接收来自客户端的SOAP消息。它作为Web服务开发过程的一部分而自动被包括在内。
一个无状态会话EJB，用于为消息风格的Web服务实现RPC风格的Web服务或JMS监听程序（比如消息驱动bean）。

在一个RPC风格的Web服务中，无状态会话EJB可以完成Web服务的所有实际工作，或者它们可以把工作分配给其他EJB。Web服务的实现者决定哪些EJB完成实际工作。在消息风格的Web服务中，J2EE对象（通常是消息驱动bean）从JMS目的地获取消息，并且处理它们。WebLogic Web服务作为企业存档（.ear）文件打包，其中包含Web应用程序的Web存档（.war）文件和EJB存档（.jar）文件。

　　保护WebLogic Web 服务

因为WebLogic Web服务作为标准的J2EE企业应用程序打包，所以通过保护组成Web服务的以下标准J2EE组件中的一些或全部，来保护对Web服务的访问：

SOAP servlet
RPC风格的Web服务基于无状态会话EJB。可使用基本的HTTP身份验证或SSL对尝试访问WebLogic Web服务的客户端进行身份验证。因为前述组件均为标准的J2EE组件，因此可以使用标准的J2EE安全过程来保护它们。

　　保护消息风格的Web服务

可以通过保护负责处理客户端和服务之间SOAP消息的SOAP servlet，来保护消息风格的Web服务。

不论是手动还是使用wsgen Ant任务来组装Web服务时，您都可以在Web应用程序的web.xml文件中引用SOAP servlet。这些servelet负责处理在WebLogic Server和客户端应用程序之间传递的SOA消息。它们始终部署在WebLogic Server上，并为所有部署的WebLogic Web服务所共享。

Web服务引用哪个特定SOAP servlet取决于它的类型（RPC风格还是消息风格）。下面列出了对每个SOAP servlet的描述：

weblogic.soap.server.servlet.DestinationSendAdapter: 在负责接收来自客户端应用程序的数据并把这些数据发送给JMS目的地的消息风格的Web服务中处理SOAP消息。
weblogic.soap.server.servlet.QueueReceiveAdapter: 在负责把数据从JMS队列发送给客户端应用程序的消息风格的Web服务中处理SOAP消息。
weblogic.soap.server.servlet.TopicReceiveAdapter: 在负责把数据从JMS主题发送给客户端应用程序的消息风格的Web服务中处理SOAP消息。
weblogic.soap.server.servlet.StatelessBeanAdapter: 处理RPC风格的Web服务和客户端应用程序之间的SOAP消息。
例如，在客户端应用程序用来发送数据给JMS目的地的消息风格的Web服务中，负责处理SOAP消息的SOAP servlet是weblogic.soap.server.servlet.DestinationSendAdapter。用于组装Web服务的wsgen Ant任务把清单1中所示的元素添加到Web应用程序的web.xml部署描述器。

   清单1
   <servlet>
   <servlet-name>sender</servlet-name>
   <servlet-class>
   weblogic.soap.server.servlet.DestinationSendAdapter
   </servlet-class>
   <init-param>
   <param-name>topic-resource-ref</param-name>
   <param-value>senderDestination</param-value>
   </init-param>
   <init-param>
   <param-name>connection-factory-resource-ref</param-name>
   <param-value>senderFactory</param-value>
   </init-param>
   </servlet>
   ...