Web Service 安全性调用者配置

可以在已认证的方式或未认证的方式下运行 Web Service。如果您想要根据用户身份来限制对资源的访问权,那么 Web Service 必须以已认证的方式运行。当 Web Service 以已认证的方式运行时,会将用户身份放在运行 Web Service 的同一个线程上。

Web Service 可以通过两种方法来实现以已认证的方式运行:
HTTP 基本认证
由 Web 容器将 HTTP 标头中的身份放在线程上。
WS-Security 调用者配置
由 WS-Security 运行时将 SOAP 安全性头中其中一个令牌的身份放在线程上。

WS-Security 规范允许将多个令牌传入 SOAP 消息的安全性头。当 Web Service 需要使用 WS-Security 以已认证的方式运行时,需要某种机制以让 WS-Security 运行时环境知道要将哪个令牌用于身份。此机制称为调用者配置。

server.xml 文件中使用 <callerToken> 元素指定 WS-Security 调用者配置。

下面举例说明了一个包含 UsernameToken 的调用者配置的样本 WS-Security 提供者配置:
<wsSecurityProvider ...>
  ...
  <callerToken name="UsernameToken" />
  ...
</wsSecurityProvider>
可为 <callerToken> 元素指定下列值:
  • UsernameToken
  • X509Token
  • SamlToken

如果将 X509Token 配置为调用者令牌,请确保从安全性头只能解析一个客户机的 X509Certificate。例如,确保只有一个客户机证书是从 AsymmetricBinding 中的发起方令牌解析,或者只有一个客户机证书是从签署令牌解析。

如果将 UsernameToken 配置为调用者令牌,那么安全性头必须只包含一个 UsernameToken

如果将 SamlToken 配置为调用者令牌,那么安全性头必须只包含一个 SAML 令牌。有一些附加配置选项(例如,userIdentifiergroupIdentifierrealmIdentifier)用于指定 SAML 属性,此属性可在创建认证主体集时用作主体、组或领域。有关可选的 SAML callerToken 配置的更多信息,请参阅产品文档中的“创建 WS-Security SAML 调用者配置”


用于指示主题类型的图标 概念主题

文件名:cwlp_wssec_caller_config.html