WebLogic上的Web Services安全 (1)

大多数用户是最先考虑安全性的。随着越来越多的用户使用Web services，他们发现需要去了解怎样保护Web services，以及应当使用哪种认证机制。为了保持Web services的开放性以及支持多客户类型，必需了解如何处理Web services的安全性。

这篇文章关注WebLogic上的Web services的安全。 我将解释在WebLogic上是如何保护Web services，如何进行认证工作，以及该如何在各种不同的程序语言中发展客户端认证WebLogic的Web services。

WebLogic的Web Service组件

位于WebLogic Server的Web services是使用例如EJBs和JMS这样的标准J2EE组件来实现的，并且作为标准J2EE企业应用打包。WebLogic的Web services使用简单对象存储协议(SOAP) 1.1作为消息格式以及使用HTTP 1.1作为连接协议。

Web services runtime 组件是一组servlets，并且相关联的基础结构必须创建一个Web service。runtime的一个元素是一组用来处理来自客户端的SOAP请求的servlets。这些servlets被包含在WebLogic Server分布中。runtime的另一个元素是一个Ant任务，它用来生成和装配WebLogic web service的所有组件。

WebLogic的Web services作为标准的J2EE企业应用打包，它由下列具体组件组成：


一个Web应用系统，该应用至少要包括一个servlet，它用来从客户端发送并接收SOAP消息。它自动包括并作为Web services开发过程的一部分。


一个无状态会话EJB，它实现一个RPC-style（远程程序调用(RPC)类型）Web service或是实现了一个消息类型（message-style）的Web service的JMS监听器（例如消息驱动bean）。
在RPC-style Web service中，无状态会话EJBs可能要做所有Web service的工作，或者它们可能会将工作分配给其他的EJBs。Web service实现器决定使用哪些EJBs。在message-style Web service中，一个J2EE对象（典型的为一个消息驱动bean）从JMS的destination处得到消息并且处理它们。

WebLogic的Web services作为企业档案文件打包(.ear)，它包括Web应用程序的Web档案文件(.war) 以及EJB档案文件(.jar)。

保护 WebLogic的Web services

由于WebLogic的Web services作为标准的J2EE企业应用打包，通过保护一些或所有下列组成Web service的标准J2EE组件，使得访问一个Web service可能是安全的：


SOAP servlets

以一个RPC-style Web service为基础的无状态会话EJB
基本HTTP认证或SSL（Secure Sockets Layer，安全套接字层）可以用来鉴别试图访问WebLogic的Web service的客户端。因为前面讲的组件是标准的J2EE组件，它们可以使用标准J2EE安全程序来保护。

保护MESSAGE-STYLE WEB SERVICES

message-style Web service可以通过保护在客户端和服务器端之间处理SOAP消息的SOAP servlet来保障其安全。当通过手工的或通过使用wsgen Ant任务装载Web service时，你可以参考Web应用程序的web.xml文件中的SOAP servlets。这些servlets处理在WebLogic Server和客户端应用程序之间传送的SOAP消息。它们总是被部署在WebLogic Server上，并且被其他所有部署在WebLogic上的Web services所共享。



图1 HTTP1.1 询问响应确认

一个Web service所参照的特定的SOAP servlet依赖于它的类型(RPC-style 或 message-style)。下面列出了每个SOAP servlet 的描述：


weblogic.soap.server.servlet.DestinationSendAdapter : 在message-style Web service中处理SOAP消息，它从客户端应用程序接收数据并发送它到JMS的destination。

weblogic.soap.server.servlet.QueueReceiveAdapter : 在messag