使用WebService發佈soap接口，並實現客戶端的https驗證

什麼是https

HTTPS實際上是有兩部分組成：HTTP + SSL / TLS，

也就是在HTTP上又加了一層處理加密信息的模塊，而且會進行身份的驗證。

如何進行身份驗證?

首先咱們要明白什麼是對稱加密，什麼是非堆成加密

對稱加密

對稱加密就是隻有一個密鑰，客戶端雙方按照約定的密鑰對本身的明文進行加密。

可是這種方式有個很很差的狀況。A和B通信以前並不知道使用哪一種密鑰加密。因此在第一次通信的時候會事先溝通好。

A->B：嗨！在嗎？咱們開始聊天吧。
B->A：好的，咱們的密鑰是：xxxxx。

若是此時黑客截取到了你的密鑰，那加密也無濟於事。

非對稱加密

非對稱加密就是在對稱加密上再套一層公鑰。因此有公鑰和私鑰兩種形式。

A->B：嗨！在嗎？咱們開始聊天吧。
B->A：好的，咱們的公鑰是：xx。
A->B（以公鑰：xx加密）: 你好我是A，咱們以後使用對稱加密的zz來通信。
B：以xx的密鑰解密，獲得密鑰zz，以後雙方通信都經過對稱加密的zz來通信。

公鑰是公開的，用公鑰加密的信息只能使用密鑰解密。公鑰是解不開的，即使公鑰被非法路由或黑客攔截，也不能經過公鑰解密。這就是數學的魅力，有興趣的話能夠了解一下：RSA算法

這樣就安全了？答案是否認的，若是在B->A發送公鑰 xx 的時候就已經被非法路由器或者黑客攔截，而後向A發送偷天換往後的公鑰 yy。此時非法路由就有兩個公鑰 xx 和 yy 。而且擁有有 yy 的私鑰，由於 yy 是其本身生成的。

所以，當A收到非法路由發送過來的偷天換往後的公鑰 yy ,A信覺得真的認爲這個就是B發送過來的公鑰。當A向B發送發送一串由 YY 公鑰加密的信息，非法路將其攔截而且用 yy 的密鑰解密後再經過公鑰 xx 加密後發送給B。這樣你的消息通信依舊是不安全的。

證書體系

上面這個環節按理來講已經很安全了，爲何仍是會被黑客或者非法路由攻擊？思考上面的環節，問題出在發送公鑰的時候，被黑客攔截，而後偷天換日的換了一個公鑰。那是否是隻要保證公鑰的不可更改，就能維護了呢？是的，證書的出現就是解決這個問題（也是爲何你要去找證書籤發機構花錢購買證書的緣由）！！

簡單來講，一個HTTPS網站響應給咱們的並非一個公鑰，而是證書。證書上包含了公鑰，還包含了域名、簽發機構、有效期、簽名等等。

那證書的安全性怎麼保證？爲何中間人不能作一個假證書？

由於這套證書體系已經根植於每個操做系統裏了。每個操做系統裏，都內置了數十張根證書，每一個根證書都對應一個很是權威的證書籤發機構。這些根證書上記錄了各個機構的公鑰。

那非法路由或者黑客能不能申請一個真的證書而後去作劫持呢？

一般來講，證書籤發機構的審覈很是嚴格，若是沒法證實B這個域名屬於他，簽發機構是不會給他簽發一個知乎域名的證書的。而若是中間人用了其餘域名的證書，瀏覽器會發現你請求的域名和返回的證書不一致，從而拒絕繼續請求。除非你必定要點下面的「仍然繼續」：

最後無奈地說，在破解了這麼多數學上的難題後，HTTPS的安全性仍然保證在『證書籤發機構必定都是頗有良心的』這種脆弱的基礎上。（即使一些網站是經過證書籤發機構的，可是嘛依舊會被植入小廣告，咳咳....）。

實現客戶端驗證的WebService

咱們瞭解了https和證書的做用。其實咱們在系統之間內部通信的時候就可使用對稱加密的方式進行訪問便可。

由於是內部嘛，咱們提早約定好使用何種證書就能夠了。除非是很正式的項目，不然使用本身簽發的證書便可，由於官方生成證書是要花錢滴。

有兩種方式

第一種：服務端生成一個證書，每一個客戶端都生成本身的證書，而後讓服務端與各個客戶端相互信任。

第二種：生成一個證書，將這個證書派發給各個客戶端，每一個客戶端攜帶該證書就會被服務端認證（這種安全性稍微低一些，可是在大部分對安全性要求不是特別高的場景推薦使用。下面主要說明這一種方式，若是想實現第一種參考：https://blog.csdn.net/u011350541/article/details/71941536）

生成證書

首先保證服務器有jdk，打開CMD工具，進入到jdk的bin目錄下輸入一下信息。若是配置了環境變量則直接在命令行中輸入便可。

keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/server.jks -storepass 123456

上述參數的具體說明以下：

keytool 

-genkey 

-alias service(別名) 

-keypass 123456(別名密碼) 

-keyalg RSA(算法) 

-keysize 1024(密鑰長度) 

-validity 365(有效期，天單位) 

-keystore D:/keys/server.jks(指定生成證書的位置和證書名稱) 

-storepass 123456(獲取jks信息的密碼)

發佈的soap接口

/**
     * @author Eric
     * @Title: SoapService
     * @date 2019/7/17 10:42
     * @Description: 發佈的soap接口，注意註釋的使用
     */
    @WebService
    public interface SoapService {
        void sayHello(@WebParam(name = "clientName") String clientName);
    }

接口的具體實現類

/**
 * @author Eric
 * @Title: SoapServiceImpl
 * @date 2019/7/17 10:42
 * @Description: soap接口的具體實現，注意註釋的使用
 */
@javax.jws.WebService
public class SoapServiceImpl implements SoapService {
    @Override
    public void sayHello(String clientName) {
        System.out.println(clientName + "調用接口打了招呼");
    }
}

發佈soap接口

/**
 * @author Eric
 * @Title: testTest
 * @date 2019/7/17 10:45
 * @Description: 發佈soap接口
 */
public class Release {

    public static void main(String[] args) throws Exception {
        initSoap();
    }
    
    //初始化soap接口
    public static void initSoap() {
        try {
            String host = "0.0.0.0";
            int port = 8888;
            String address = "https://" + host + ":" + port + "/logProcessor"; //發佈於https
            JaxWsServerFactoryBean sf = new JaxWsServerFactoryBean();
            sf.setServiceClass(SoapService.class); //發佈實現soap的接口類（你本身實現的接口，裏面的方法就是發佈的soap接口）
            sf.setAddress(address);
            SoapServiceImpl soapServiceImpl = new SoapServiceImpl(); //SoapService的實現類
            sf.getServiceFactory().setInvoker(new BeanInvoker(soapServiceImpl));
            sf = configureSSLOnTheServer(sf, port);
            Server server = sf.create();
            String endpoint = server.getEndpoint().getEndpointInfo().getAddress();
            System.out.println("soap發佈的地址爲：" + endpoint);
        } catch (Exception e) {
                System.out.println("Soap初始化失敗:"+e);
        }
        
    }
    
    //https而且開啓客戶端認證。若是發佈的接口是http，則無需實現該方法。
    private static JaxWsServerFactoryBean configureSSLOnTheServer(JaxWsServerFactoryBean sf, int port) throws Exception {
        TLSServerParameters tlsParams = new TLSServerParameters();
        ClientAuthentication clientAuthentication = new ClientAuthentication();

        clientAuthentication.setRequired(true); //開啓客戶端認證
        tlsParams.setClientAuthentication(clientAuthentication);
        KeyStore keyStore = KeyStore.getInstance("JKS");
        String password = "123456"; //生成證書時候定義的的密碼
        File truststore = new File(Paths.get("D:\\keys", "server.jks").toString());
        keyStore.load(new FileInputStream(truststore), password.toCharArray());
        KeyManagerFactory keyFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyFactory.init(keyStore, password.toCharArray());
        KeyManager[] km = keyFactory.getKeyManagers();
        tlsParams.setKeyManagers(km);

        truststore = new File(Paths.get("D:\\keys", "server.jks").toString());
        keyStore.load(new FileInputStream(truststore), password.toCharArray());
        TrustManagerFactory trustFactory = TrustManagerFactory
                .getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustFactory.init(keyStore);
        TrustManager[] tm = trustFactory.getTrustManagers();
        tlsParams.setTrustManagers(tm);

        JettyHTTPServerEngineFactory factory = new JettyHTTPServerEngineFactory();
        factory.setTLSServerParametersForPort(port, tlsParams);
     
    }
}

使用soapUI模擬客戶端調用soap接口

經過上述代碼，咱們將接口發佈在了你本身定義的https://0.0.0.0:8888/logProcessor。若是發佈成功，咱們想遠程調用soap接口，此時打開soapUI

1. 選擇左上角File而後選擇Preferences。
   
2. 選擇SSL Settings，在KeyStore上導入咱們生成的證書。不然沒法遠程調用（由於咱們在代碼中開啓了客戶端認證，若是沒有開啓能夠跳過這一步）
   
3. 而後返回主界面，建立soap，在彈出的界面中 ‘Project Name’能夠本身定義。‘Initial WSDL’中輸入你發佈的地址加上‘?wsdl’以下：https://0.0.0.0:8888/logProcessor?wsdl
   
4. 若是建立成功，你就能在左邊看到本身項目中發佈的接口。選擇咱們發佈的接口sayHello，雙擊Request。
   
5. 在彈出的界面中，將本身的參數輸入，而後點擊綠色三角形開始調用，由於咱們這個方法沒有參數返回，全部調用後沒有什麼信息會提示。
   
6. 打開咱們的ide，此時就能看到下面打印了一行話，說明方法調用成功
   

參考

https://zhuanlan.zhihu.com/p/37738632
https://blog.csdn.net/u011350541/article/details/71941536