保护支持 Web 消息传递的应用程序

配置支持 Web 消息传递的应用程序包括以下两个不同的方面:一个方面是保护传入 URI;另一个方面是对服务集成总线配置客户机认证和授权。

保护 Web 消息传递 URI

根据您正在编写的 Web 消息传递应用程序的类型,您可能想限制访问 Web 消息传递 URI。可以使用标准的 Web 应用程序安全性方法来保护 Web 消息传递 URI。对 Web 消息传递 URI 进行保护之后,将使用正常的 Web 应用程序安全性方法来认证 Bayeux 握手请求和为此请求授权。请参阅以下主题:在组装和部署期间保护应用程序一节以获取更多信息。启用了应用程序安全性之后,通常要启用传输安全性。Web 消息传递服务将共享 Web 容器传输链,如果您在受保护的传输链上启用 Web 消息传递服务,那么将保护所有 Bayeux 操作的通信。

服务集成总线认证和授权

在启用了安全性的情况下配置支持 Web 消息传递的应用程序时,一定要了解应当将安全性要求扩展到服务集成总线交互,除非您有特别的原因不这样做。在规划安全模型时,应考虑下面所描述的有关服务集成总线安全性的每个方面。请参阅了解有关服务集成安全性的信息主题以获取更多信息。当 Web 消息传递客户机连接至受保护的服务集成总线时,客户机必须经过认证和授权之后才能访问服务集成总线资源。

Web 消息传递客户机必须提供凭证以向受保护的服务集成总线进行认证。您可以选择以下两种方法来提供凭证:JavaTM 2 连接器认证别名或者 Web 凭证。您应使用的最佳方法取决于应用程序的需要。Web 消息传递配置选项 authType 和 authAlias 指定了要使用的类型。有关详细的配置信息,请参阅服务集成总线配置主题。

Java 2 连接器认证别名

借助 Java 2 连接器认证别名,Web 消息传递客户机就可以向服务集成总线进行认证。应在下列情况下使用认证别名:

  • 禁用了 Web 安全性,但是启用了总线安全性。要允许 Web 消息传递客户机访问服务集成总线,指定认证别名是唯一可以采用的解决方案。
  • 允许参与单个 URI 的所有 Web 消息传递客户机具有相同的服务集成总线主题空间和主题许可权。在这种情况下,管理单个认证实例的授权许可权比管理每个已认证的 Web 用户的许可权会更容易。
Web 凭证 启用了 Web 安全性之后,可以将 Web 凭证用作连接至受保护的服务集成总线时需要提供的认证信息。基本认证和 LTPA 单点注册 Cookie 是两种受支持的 Web 凭证类型。在下列情况下,应将 Web 消息传递配置文件设置为使用“基本”或 sso 这两种 authType:
  • 启用了 Web 安全性。在 HTTP 请求中必须可读取基本 auth 或 LTPA Cookie 信息。如果未提供此信息,那么访问受保护的服务集成总线时将失败。 如果正在使用信任关联拦截器,那么您可能无法读取 Web 凭证。在这种情况下,您将只能使用 Java 2 连接器认证别名。
  • 需要细粒度的 Web 消息传递用户主题空间或主题授权。在这种情况下,您必须遵循下面的授权步骤才能允许用户或组访问服务集成总线资源。

   

服务集成总线提供了一系列安全检查,允许以多种详细程度来验证授权。指定的所有认证数据都必须满足下列授权级别。

总线连接器授权 要访问服务集成总线,需要的第一个授权级别是能够连接至总线或者总线连接器授权。与其他授权一样,可以将此访问权授予给单个用户,也可以授予给一个用户组。可以在管理总线连接器角色主题中找到有关如何配置总线连接器角色的授权的详细信息。
主题空间(目标)安全性 应用程序通过了总线连接器授权检查之后,它下一步需要执行的操作就是访问目标。对于 Bayeaux 应用程序,目标是在 Bayeaux 配置或通道名称中指定的一个或多个主题空间目标。

每个目标都有一组相关联的个别角色,这些角色用于控制特定应用程序或用户可以执行的准确操作类型。对于 Bayeaux 应用程序,感兴趣的最常见角色是“接收方”角色和“发送方”角色。“接收方”角色使应用程序能够创建预订和接收事件,而“发送方”角色可将事件发布至主题空间。可以在以下目标安全性主题中找到有关如何为给定主题空间配置这些授权角色的详细信息。

主题安全性 在主题空间中,还可以对单个主题或者主题分支配置细粒度的访问控制。这就意味着,一个应用程序可以阻止另一个应用程序查看发布在其他主题空间上的事件, 即使这些事件发布在同一个主题空间中也是如此。

可以在下列主题中找到有关如何配置主题级别安全性的详细信息:



使用条款 | 反馈