如何保護EJB3.0無狀態會話Bean Web服務

Question

我使用JAX-WS註釋將EJB3.0無狀態會話bean公開爲Web服務，現在我使用JBOSS5.1.0 GA作爲應用程序服務器，JBOSSWS正在生成WSDL在我部署EAR時適用於我。

現在我想通過在SOAP消息上提供身份驗證和加密解密來保護Web服務。我該如何做到這一點，在JAX-WS（或）中是否可以通過在EJB級別進行任何配置來獲得任何註釋。我不想在JBOSS方面做安全的Web服務，因爲我想在不同的應用程序中部署相同的EAR。

所以，請幫我建立通用的EJB3.0的Web服務的bean與安全實現，非常感謝提前

Answer 1

關於SOAP Web服務，您可以在這個論壇很多帖子涉及您的問題。特別是在User authenticate in SOAP我已經提到有幾種方法來驗證客戶端。

假設您想通過X.509證書對客戶端進行身份驗證。然後：

• 對於將JBossWS參考WS-SecurityOptions – X509 Certificate Token
• 對於城域/ JAX-WS服務是指Using JAX-WS-Based Web Services with SSL
• 對於Apache CXF參考WS-Security
• 春季安全是指Spring Security With X.509 Certificate