7.4. 수신되는 인증 정보 인증

서버 측에서는 Apache CXF 런타임에 콜백 처리기를 등록하여 수신된 인증 정보가 정품인지 확인할 수 있습니다. 인증 정보 확인을 수행하기 위해 자체 사용자 지정 코드를 작성하거나 타사 엔터프라이즈 보안 시스템(예: LDAP 서버)과 통합된 콜백 핸들러를 구현할 수 있습니다.

클라이언트에서 수신된 UsernameToken 자격 증명을 확인하는 서버 콜백 처리기를 구성하려면 다음과 같이 서버의 블루프린트 XML 구성에 security.callback-handler 속성을 설정합니다.

<beans ... >
    <jaxws:endpoint
       id="UserNameOverTransport"
       address="https://localhost:9001/UserNameOverTransport"
       serviceName="interop:PingService10"
       endpointName="interop:UserNameOverTransport_IPingService"
       implementor="interop.server.UserNameOverTransport"
       depends-on="tls-settings">

       <jaxws:properties>
            <entry key="security.username" value="Alice"/>
            <entry key="security.callback-handler" value="interop.client.UTPasswordCallback"/>
        </jaxws:properties>

    </jaxws:endpoint>
    ...
</beans>

앞의 예에서 콜백 처리기는 UTPasswordCallback 클래스에 의해 구현됩니다.

서버 측에서 암호를 확인하는 콜백 처리기를 구현하려면 javax.security.auth.callback.CallbackHandler 인터페이스를 구현합니다. 서버에 대한 CallbackHandler 인터페이스를 구현하는 일반적인 방법은 클라이언트에 대한 CallbackHandler 를 구현하는 것과 유사합니다. 그러나 서버 측에서 반환된 암호에 제공된 해석은 다릅니다. 그러나 콜백 처리기의 암호는 클라이언트의 자격 증명을 확인하기 위해 수신된 클라이언트 암호와 비교됩니다.

예를 들어 예 7.2. “UsernameToken 암호에 대한 콜백 처리기” 에 표시된 샘플 구현을 사용하여 서버 측에서 암호를 가져올 수 있습니다. 서버 측에서 WSS4J 런타임은 콜백에서 가져온 암호를 수신된 클라이언트 자격 증명의 암호와 비교합니다. 두 암호가 일치하면 인증 정보가 성공적으로 확인됩니다.

서버 콜백 처리기의 보다 비관적인 구현에는 보안 데이터를 저장하는 데 사용되는 타사 데이터베이스와의 통합을 작성하는 작업이 포함됩니다(예: LDAP 서버와의 통합).