웹 서비스 보안 HTTP는 전송 정책 어설션
WSDL 파일에 정의된 웹 서비스 보안(WS-Security) 정책의 어설션을 사용하여 SOAP 메시지가 HTTPS 보안 전송으로 보호되는지 확인할 수 있습니다. 일반 텍스트 비밀번호로 UsernameTokens와 같은 보안 토큰과 함께 사용한 경우, HTTP는 기밀성을 보증하기는 데 도움이 될 수 있습니다.
WS-Security 정책에서 HTTP 전송에 대한 어설션은 요청자와 제공자 사이에 HTTPS 전송을 설정하지 않습니다. 이 어설션은 정의된 정책을 사용하여 웹 서비스 애플리케이션이 호출될 때 HTTPS 전송만 사용되는지 확인합니다. 웹 서비스에 대한 전송 보안을 사용하려면 전송 레벨에서 웹 서비스 보안의 내용을 참조하십시오.
웹 서비스 클라이언트와 제공자 사이에 HTTPS가 설정되어 있는지 확인하십시오. HTTPS 보안 전송으로 SOAP 메시지를 보호하려면 다음 추가 단계를 완료하십시오.
- WS-Security는 wsSecurity-1.1 기능을 추가하여 명시적으로 사용되도록 설정해야 합니다. appSecurity-2.0, servlet-3.0(또는 servlet-3.1), jaxws-2.2 기능 및 기타 필요한 Liberty 기능을 Liberty 프로파일의 server.xml 파일에 추가했는지 확인하십시오.
- 웹 서비스 애플리케이션에 첨부된 WS-Security 정책은 TransportBinding 어설션을 포함해야 하며,
HTTPS 구성과 일치해야 합니다. 다음 예제에서는
샘플 TransportBinding 어설션을 보여 줍니다.
<wsp:Policy xmlns:wsp="..." xmlns:sp="..."> <sp:TransportBinding> <wsp:Policy> <sp:TransportToken> <wsp:Policy> <sp:HttpsToken /> </wsp:Policy> </sp:TransportToken> <sp:AlgorithmSuite> <wsp:Policy> <sp:Basic256 /> </wsp:Policy> </sp:AlgorithmSuite> <sp:Layout> <wsp:Policy> <sp:Strict /> </wsp:Policy> </sp:Layout> <sp:IncludeTimestamp /> </wsp:Policy> </sp:TransportBinding> </wsp:Policy>
HTTPS 구성 후 이러한 추가 단계를 완료하면, HTTPS를 통해 웹 서비스 클라이언트에서 웹 서비스 제공자로 SOAP 메시지를 전송해야 합니다.