Как защитить веб-сервисы EJB3.0 без сохранения состояния

Question

Я выставил EJB3.0 сессионный компонент без сохранения состояния в качестве веб-службы, используя аннотации JAX-WS, и сейчас я использую JBOSS5.1.0 GA в качестве сервера приложений, и JBOSSWS генерирует WSDL для меня при развертывании EAR.

Теперь я хочу защитить веб-службы, предоставляя аутентификацию и шифрование-дешифрование сообщений SOAP. Как мне этого добиться, есть ли какие-либо аннотации для обоих в JAX-WS (или), которых я могу достичь, выполнив любую конфигурацию на уровне EJB. Я не хочу делать безопасные веб-сервисы относительно JBOSS, потому что я хочу развернуть один и тот же EAR-файл в другом приложении.

Поэтому, пожалуйста, помогите мне создать общий компонент EJB3.0 для веб-сервисов с реализацией безопасности. Заранее большое спасибо

Answer 1

Что касается SOAP WebServices, вы можете много сообщений на этом форуме, связанных с вашим вопросом. В частности, в Проверка подлинности пользователя в SOAP Я упоминал, что существует несколько способов проверки подлинности клиента.

Предположим, что вы хотите аутентифицировать клиента по сертификату X.509. Тогда:

• Для JBossWS см. WS-SecurityOptions - Маркер сертификата X509
• Для служб Metro / JAX-WS см. Использование веб-служб на основе JAX-WS с SSL
• Для Apache CXF см. WS-Security
• Для Spring Security см. Spring Security с сертификатом X.509