我正在使用 spring-ws框架开发SOAP Web服务,并且需要实现对Web服务访问的身份验证。我正在尝试实现基于令牌的身份验证,如下所示。
用户身份验证有一个单独的Web方法。如果用户凭据有效,系统生成的令牌将返回给客户端。令牌的有效期有限。
当用户访问其余的Web方法时,需要提供用户名和验证方法返回的有效令牌。
令牌过期后,用户需要通过身份验证网络服务一次又一次地获取有效令牌。
请建议,spring框架中有哪些方法可以实现这样的场景。由于我是新兴的网络服务安全性,如果我能够有关于如何实施的简单指南,那就更好了。
谢谢。
答案 0 :(得分:1)
在这里你可以使用Wss4jSecurityInterceptor - EndpointInterceptor
,它可用于对请求消息执行安全操作(当然在调用端点之前)
<bean class="org.springframework.ws.soap.security.wss4j.Wss4jSecurityInterceptor">
<property name="validationActions" value="UsernameToken Encrypt" />
</bean>