Benutzernamenstoken mit Kennwortauszug (HashPassword) und Zeitmarke über SSL

Diese Richtlinie erfordert, dass Sie die Nachricht mit HTTPS schützen und dass ein Benutzernamenstoken (UsernameToken) für die Authentifizierung verwendet wird. Das Kennwort des Benutzernamenstokens wird mit der erstellten Zeitmarke (Timestamp) und dem Nonce hashverschlüsselt. Außerdem wird die Nachricht mit einer Zeitmarke versehen.

Die folgende Richtlinie zeigt ein Benutzernamenstoken mit Kennwortauszug (HashPassword) und Zeitmarke über SSL:
<wsp:Policy wsu:Id="UserNameTokenPasswordHashOverSSL">
  <wsp:ExactlyOne>
    <wsp:All>
      <sp:TransportBinding>
        <wsp:Policy>
          <sp:TransportToken>
            <wsp:Policy>
              <sp:HttpsToken>
                <wsp:Policy />
              </sp:HttpsToken>
            </wsp:Policy>
          </sp:TransportToken>
          <sp:Layout>
            <wsp:Policy>
              <sp:Lax />
            </wsp:Policy>
          </sp:Layout>
          <sp:IncludeTimestamp />
          <sp:AlgorithmSuite>
            <wsp:Policy>
              <sp:Basic128 />
            </wsp:Policy>
          </sp:AlgorithmSuite>
        </wsp:Policy>
      </sp:TransportBinding>
      <sp:SupportingTokens>
        <wsp:Policy>
          <sp:UsernameToken
            sp:IncludeToken="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702/IncludeToken/AlwaysToRecipient">
            <wsp:Policy>
              <sp:WssUsernameToken10 />
              <sp:HashPassword/>
            </wsp:Policy>
          </sp:UsernameToken>
        </wsp:Policy>
      </sp:SupportingTokens>
    </wsp:All>
  </wsp:ExactlyOne>
</wsp:Policy>
In diesem Beispiel werden die folgenden Namespaces verwendet:
  • xmlns:wsp="http://www.w3.org/ns/ws-policy"
  • xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
  • xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702"

Zum Überprüfen des UsernameToken im Liberty-Server müssen Sie eine Kennwortklasse des Callback-Handlers auf Providerseite angeben, indem Sie das Attribut ws-security.callback-handler setzen. Das Kennwort vom Callback-Handler muss mit dem im PasswordDigest verwendeten Kennwort übereinstimmen. Außerdem muss das Kennwort auch mit dem Kennwort in der Benutzerregistry in Liberty übereinstimmen.


Symbol das den Typ des Artikels anzeigt. Konzeptartikel

Dateiname: cwlp_wssec_templates_scenario1.html