使用Handler处理链实现Webservice Soap Header用户验证

本文主要介绍如何在Web服务中实现基于Soap Header的用户验证，通过使用Handler处理链来拦截和验证SOAP消息。 在Web服务中，为了确保安全性，常常需要对发送请求的用户进行身份验证。Soap Header是SOAP消息的一个部分，可以用来传递额外的信息，例如认证凭据。在本例中，我们将探讨如何利用Java的SOAP Handler机制来处理和验证Soap Header中的用户信息。 首先，我们需要创建一个自定义的`SOAPHandler<SOAPMessageContext>`类，这个类将负责检查Soap Header中的认证信息。代码示例中的`AuthenticationHandler`类实现了`SOAPHandler`接口，并重写了`handleMessage()`方法，这是处理每个SOAP消息的核心方法。 ```java public class AuthenticationHandler implements SOAPHandler<SOAPMessageContext> { // ... } ``` 在`handleMessage()`方法内，我们可以访问`SOAPMessageContext`对象，从中获取SOAP消息的`SOAPEnvelope`，然后进一步获取`SOAPHeader`。通过这些对象，我们可以检查并解析Soap Header中的`<authentication>`, `<userorgid>`, `<userid>`, 和 `<userpsw>`等元素。 ```java @Override public boolean handleMessage(SOAPMessageContext context) { // 获取SOAPHeader SOAPHeader soapHeader = context.getMessage().getSOAPPart().getEnvelope().getHeader(); // ... } ``` 接下来，我们需要从`SOAPHeader`中提取出认证信息，这通常涉及到DOM操作，如使用`NodeList`和`Node`接口来遍历和解析XML结构。以下代码片段展示了如何获取特定元素的值： ```java // 获取header中的认证元素 NodeList nodeList = soapHeader.getElementsByTagNameNS("namespace", "authentication"); Node authenticationNode = nodeList.item(0); // 以此类推，获取其他元素如userorgid, userid, userpsw ``` 一旦获取了这些信息，我们就可以执行实际的验证逻辑，例如与数据库或认证服务进行比对。如果验证通过，继续处理请求；否则，抛出异常或返回错误响应。 ```java if (isValidUser(authenticatedUser)) { // 验证成功，继续处理请求 } else { // 验证失败，可能抛出异常或设置响应状态 context.setFaultCode(...); context.setFaultString(...); return false; } ``` `isValidUser()`方法会根据获取到的用户信息（如`<userid>`和`<userpsw>`）进行实际的身份验证，这可能涉及到数据库查询、加密解密等操作。 最后，别忘了在Handler链中注册`AuthenticationHandler`，这样它才能在每个SOAP消息到达时被调用。这通常在服务提供者或客户端配置中完成。 ```java Set<Handler> handlerChain = new HashSet<>(); handlerChain.add(new AuthenticationHandler()); BindingProvider provider = (BindingProvider) myWebService; provider.getBinding().setHandlerChain(handlerChain); ``` 总结来说，实现Webservice中Soap Header的用户验证涉及创建自定义SOAPHandler，解析和验证Soap Header中的认证信息，以及在处理链中注册该Handler。这一过程保证了只有经过验证的用户才能访问Web服务，提高了服务的安全性。