原文作者： 陳亞強(qiáng)

原文鏈接：http://www.ibm.com/developerworks/cn/webservices/ws-handler/index.html
高級軟件工程師, 北京華園天一科技有限公司 2003 年 8 月 

一、Handler的基本概念

J2EE Web 服務(wù)中的Handler技術(shù)特點(diǎn)非常像Servlet技術(shù)中的Filter。我們知道，在Servlet中，當(dāng)一個(gè)HTTP到達(dá)服務(wù)端時(shí)，往往要經(jīng)過多個(gè)Filter對請求進(jìn)行過濾，然后才到達(dá)提供服務(wù)的Servlet，這些Filter的功能往往是對請求進(jìn)行統(tǒng)一編碼，對用戶進(jìn)行認(rèn)證，把用戶的訪問寫入系統(tǒng)日志等。相應(yīng)的，Web服務(wù)中的Handler通常也提供一下的功能： 

對客戶端進(jìn)行認(rèn)證、授權(quán)； 
把用戶的訪問寫入系統(tǒng)日志； 
對請求的SOAP消息進(jìn)行加密，解密； 
為Web Services對象做緩存。 
SOAP消息Handler能夠訪問代表RPC請求或者響應(yīng)的SOAP消息。在JAX-RPC技術(shù)中，SOAP消息Handler可以部署在服務(wù)端，也可以在客戶端使用。 

下面我們來看一個(gè)典型的SOAP消息Handler處理順序： 
某個(gè)在線支付服務(wù)需要防止非授權(quán)的用戶訪問或者撰改服務(wù)端和客戶端傳輸?shù)男畔?，從而使用消息摘要?/span>Message Digest）的方法對請求和響應(yīng)的SOAP消息進(jìn)行加密。當(dāng)客戶端發(fā)送SOAP消⑹保?突Ф說?andler把請求消息中的某些敏感的信息（如信用卡密碼）進(jìn)行加密，然后把加密后的SOAP消息傳輸?shù)椒?wù)端；服務(wù)端的SOAP消息Handler截取客戶端的請求，把請求的SOAP 消息進(jìn)行解密，然后把解密后的SOAP消息派發(fā)到目標(biāo)的Web服務(wù)端點(diǎn)。 

Apache axis是我們當(dāng)前開發(fā)Web服務(wù)的較好的選擇，使用axisWeb服務(wù)開發(fā)工具，可以使用Handler來對服務(wù)端的請求和響應(yīng)進(jìn)行處理。典型的情況下，請求傳遞如圖1所示。 



圖1 SOAP消息的傳遞順序


在圖中，軸心點(diǎn)（pivot point）是Apache與提供程序功能相當(dāng)?shù)牟糠?，通過它來和目標(biāo)的Web服務(wù)進(jìn)行交互，它通常稱為Provider。axis中常用的Provider有Java：RPC，java：MSG，java：EJB。一個(gè)Web服務(wù)可以部署一個(gè)或者多個(gè)Handler。 

Apache axis中的Handler體系結(jié)構(gòu)和JAX-RPC 1.0（JSR101）中的體系結(jié)構(gòu)稍有不同，需要聲明的是，本文的代碼在axis中開發(fā)，故需要在axis環(huán)境下運(yùn)行。 

在axis環(huán)境下，SOAP消息Handler必須實(shí)現(xiàn)org.apache.axis.Handler接口（在JAX-RPC 1.0規(guī)范中，SOAP消息Handler必須實(shí)現(xiàn)javax.xml.rpc.handler.Handler接口），org.apache.axis.Handler接口的部分代碼如下： 

例程1 org.apache.axis.Handle的部分代碼

 

文件中，我們?yōu)?/span>Web服務(wù)指定了以下的用戶：

<parameter name="allowedRoles" value="chen,hellking"/>

provider.userMatches(user, thisRole)將匹配允許訪問Web服務(wù)的用戶，如果匹配成功，那么授權(quán)通過，如果沒有授權(quán)成功，那么拋出Server.Unauthorized異常。 

使用Handler對SOAP消息進(jìn)行加密、解密

由于SOAP消息在HTTP協(xié)議中傳輸，而HTTP協(xié)議的安全度是比較低的，怎么保證信息安全到達(dá)對方而不泄漏或中途被撰改，將是Web服務(wù)必須解決的問題。圍繞Web服務(wù)的安全，有很多相關(guān)的技術(shù)，比如WS-Security，WS-Trace等，另外，還有以下相關(guān)技術(shù)： 

XML Digital Signature（XML數(shù)字簽名） 
XML Encryption （XML加密） 
XKMS (XML Key Management Specification) 
XACML (eXtensible Access Control Markup Language) 
SAML (Secure Assertion Markup Language) 
ebXML Message Service Security 
Identity Management & Liberty Project 
不管使用什么技術(shù)，要使信息安全到達(dá)對方，必須把它進(jìn)行加密，然后在對方收到信息后解密。為了提供開發(fā)的方便，可以使用Handler技術(shù)，在客戶端發(fā)送信息前，使用客戶端的Handler對SOAP消息中的關(guān)鍵信息進(jìn)行加密；在服務(wù)端接收到消息后，有相應(yīng)的Handler把消息進(jìn)行解密，然后才把SOAP消息派發(fā)到目標(biāo)服務(wù)。 

下面我們來看一個(gè)具體的例子。加入使用SOAP消息發(fā)送訂單的信息，訂單的信息如下：

例程8 要發(fā)送的訂單SOAP消息

<soap-env:Envelope xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/">
    <soap-env:Header/>
    <soapenv:Body>
   <ns1:orderProduct soapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encod
 ing/" xmlns:ns1="HandleredService">
    <arg0 xsi:type="xsd:string">hellking</arg0>
    <arg1 xsi:type="xsd:string">beijing</arg1>
    <arg2 xsi:type="xsd:string">music-100</arg2>
    <arg3 xsi:type="xsd:int">10</arg3>
    <arg4 href="#id0"/>
   </ns1:orderProduct>
   <multiRef id="id0" soapenc:root="0" soapenv:encodingStyle="http://schemas.xmls
 oap.org/soap/encoding/" xsi:type="ns2:card" xmlns:soapenc="http://schemas.xmlsoa
 p.org/soap/encoding/" xmlns:ns2="card">
    
        <cardId xsi:type="xsd:string">234230572</cardId>
                
        <cardType xsi:type="xsd:string">visa</cardType>
                
        <password xsi:type="xsd:string">234kdsjf</password>
   </multiRef>
  </soapenv:Body>
   </soap-env:Envelope>

     

上面的黑體字是傳輸?shù)拿舾行畔ⅲ市枰用?。我們可以使?/span>Message Digest之類的方法進(jìn)行加密。加密之后的信息結(jié)構(gòu)如下： 

例程9 把SOAP消息某些部分加密

<?xml version="1.0" encoding="UTF-8"?>
<soapenv:Envelope …
<soapenv:Body>
  <ns1:orderProduct …>
   …
   <arg4 href="#id0"/>
  </ns1:orderProduct>
  <multiRef …>
   <ns3:EncryptedData xmlns:ns3="http://www.w3.org/2000/11/temp-xmlenc">
    <ns3:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
    <ns3:DigestValue>rO0ABXQAkyA8Y2FyZ…….
</ns3:DigestValue>
   </ns3:EncryptedData>
  </multiRef>
 </soapenv:Body>
</soapenv:Envelope>

 

圖3是使用Handler對SOAP消息進(jìn)行加密、解密后，SOAP消息在傳遞過程中結(jié)構(gòu)的改變。 


圖3 SOAP消息的加密和解密 

從上圖可以看出，通過使用加密、解密的Handler，可以確保消息的安全傳遞。進(jìn)一步說，如果把這種Handler做成通用的組件，那么就可以靈活地部署到不同的服務(wù)端和客戶端。 

客戶端的Handler的功能是把SOAP消息使用一定的規(guī)則加密，假如使用Message Digest加密方式，那么可以這樣對敏感的信息加密： 

例程10 對SOAP消息的敏感部分加密

         SOAPElement ele= soapBodyElement.addChildElement(envelope.createName
("EncryptedData","","http://www.w3.org/2000/11/temp-xmlenc")); 
ele.addChildElement("DigestMethod").addAttribute(envelope.createName
("Algorithm"),"http://www.w3.org/2000/09/xmldsig#sha1");
   
   byte[] digest=new byte[100];
   ByteArrayOutputStream  out=new  ByteArrayOutputStream (100);
   MessageDigest md = MessageDigest.getInstance("SHA");
   ObjectOutputStream oos = new ObjectOutputStream(out);
   //要加密的信息
    String data = " <cardId xsi:type='xsd:string'>234230572
                        </cardId><cardType xsi:type='xsd:string'>visa</cardType>
                        <password     xsi:type='xsd:string'>234kdsjf</password>";

   byte buf[] = data.getBytes();
   md.update(buf);
   oos.writeObject(data);
   oos.writeObject(md.digest());  
   digest=out.toByteArray();
   out.close();      
      ele.addChildElement("DigestValue").addTextNode(new 
sun.misc.BASE64Encoder().encode(digest));//對加密的信息編碼

在客戶端發(fā)送出SOAP消息時(shí)，客戶端的Handler攔截發(fā)送的SOAP消息，然后對它們進(jìn)行加密，最后把加密的信息傳送到服務(wù)端。

服務(wù)端接收到加密的信息后，解密的Handler會(huì)把對應(yīng)的加密信息解密。服務(wù)端Handler代碼如例程11所示。 

例程11 服務(wù)端解密Handler

package com.hellking.webservice;
import…
//此handler的目的是把加密的SOAP消息解密成目標(biāo)服務(wù)可以使用的SOAP消息。
public class MessageDigestHandler extends BasicHandler
{
 /**invoke，每一個(gè)handler都必須實(shí)現(xiàn)的方法。
  */
 public void invoke(MessageContext msgContext)throws AxisFault
 {
  try
  {   
   //從messageContext例取得SOAPMessage對象。
   SOAPMessage msg=msgContext.getMessage();
   SOAPEnvelope env=msg.getSOAPPart().getEnvelope();
   Iterator it=env.getBody().getChildElements();   
   SOAPElement multi=null;
   while(it.hasNext())
    {
     multi=(SOAPElement)it.next();//multi是soapbody的最后一個(gè)child。
    }
   String value="";//value表示加密后的值。
   SOAPElement digestValue=null;
   Iterator it2=multi.getChildElements();
   while(it2.hasNext())
   {
    SOAPElement temp=(SOAPElement)it2.next();
    Iterator it3=temp.getChildElements(env.createName("DigestValue",
"ns3","http://www.w3.org/2000/11/temp-xmlenc"));
    if(it3.hasNext())
    value=((SOAPElement)it3.next()).getValue();//獲得加密的值    
   }   
    //把加密的SOAPMessage解密成目標(biāo)服務(wù)可以調(diào)用的SOAP消息。
    SOAPMessage   msg2=convertMessage(msg,this.decrypte(value));
    msgContext.setMessage(msg2);        
      }
      catch(Exception e)
      {
       e.printStackTrace();
      }      
 } 
 //這個(gè)方法是把加密的數(shù)據(jù)進(jìn)行解密，返回明文。
 public String decrypte(String value)
 {
  String data=null;
  try
  {
   ByteArrayInputStream fis = new 
ByteArrayInputStream(new sun.misc.BASE64Decoder().decodeBuffer(value));
   ObjectInputStream ois = new ObjectInputStream(fis);
   Object o = ois.readObject();
   if (!(o instanceof String)) {
    System.out.println("Unexpected data in string");
    System.exit(-1);
   }
   data = (String) o;
   System.out.println("解密后的值:" + data);
   o = ois.readObject();
   if (!(o instanceof byte[])) {
    System.out.println("Unexpected data in string");
    System.exit(-1);
   }   
   byte origDigest[] = (byte []) o;
   MessageDigest md = MessageDigest.getInstance("SHA");
   md.update(data.getBytes());
  }
         …
  return data;
  }
    //把解密后的信息重新組裝成服務(wù)端能夠使用的SOAP消息。
 public SOAPMessage convertMessage(SOAPMessage msg,String data)
 {    
   ….
 }
}  

  
可以看出，服務(wù)端解密的Handler和客戶端加密的Handler的操作是相反的過程。

總結(jié)
通過以上的討論，相信大家已經(jīng)掌握了Handler的基本使用技巧。可以看出，通過使用Handler，可以給Web服務(wù)提供一些額外的功能。在實(shí)際的開發(fā)中，我們可以開發(fā)出一些通用的Handler，然后通過不同的搭配方式把它們部署到不同的Web服務(wù)中。

http://www.tkk7.com/ronghao 榮浩原創(chuàng)，轉(zhuǎn)載請注明出處：）

posted on 2007-06-12 16:01 ronghao 閱讀(3142) 評論(1)  編輯  收藏 所屬分類: SOA、BPM