Signaturprüfmethoden mit der API WSSVerification
Sie können die Signatur- und Signaturprüfdaten mit der WSS-API für die Konsumentenbindung prüfen. Die Methoden für den Signatur- und Kanonisierungsalgorithmus werden für die Generatorbindung verwendet. Die API "WSSVerification" wird im Paket "com.ibm.websphere.wssecurity.wssapi.verification" bereitgestellt.
Wenn Sie die Signaturdaten zum Schutz der Nachrichtenintegrität für den Konsumenten konfigurieren möchten, müssen Sie die SOAP-Nachrichten zuerst digital signieren und anschließend die Signatur prüfen. Integrität bezieht sich auf die digitale Signatur, wohingegen sich Vertraulichkeit auf die Verschlüsselung bezieht. Integrität verringert das Risiko der Datenmanipulation, wenn Daten über ein Netz übertragen werden.
Methoden
- Signaturmethode
- Legt die Signaturalgorithmusmethode fest.
- Kanonisierungsmethode
- Legt die Kanonisierungsalgorithmusmethode fest.
Der Algorithmus, der für die Anforderungsgeneratorkonfiguration angegeben wird, muss mit dem Algorithmus übereinstimmen, der für die Antwortkonsumentenkonfiguration angegeben ist.
Signaturalgorithmus
Die Signaturalgorithmen legen den Signaturprüfalgorithmus fest, der für die Signatur des Zertifikats verwendet wird. Die Signaturalgorithmen geben den URI (Uniform Resource Identifiers) der Signaturprüfmethode an. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
Algorithmus | Beschreibung |
---|---|
WSSVerification.HMAC_SHA1 | URI des Signaturalgorithmus HMAC: http://www.w3.org/2000/09/xmldsig#hmac-sha1 |
WSSVerification.RSA_SHA1 (Standardwert) | URI des Signaturalgorithmus RSA: http://www.w3.org/2000/09/xmldsig#rsa-sha1 |
WebSphere Application Server unterstützt nicht den Algorithmus für DSA-SHA1: http://www.w3.org/2000/09/xmldsig#dsa-sha1.
Kanonisierungsalgorithmen
Die Kanonisierungsalgorithmen geben den URI der Kanonisierungsmethode an. WebSphere Application Server unterstützt die folgenden vorkonfigurierten Algorithmen:
Algorithmus | Beschreibung |
---|---|
WSSVerification.C14N | URI des inklusiven Kanonisierungsalgorithmus C14N: http://www.w3.org/2001/10/xml-c14n# |
WSSVerification.EXC_C14N (Standardwert) | URI des exklusiven Kanonisierungsalgorithmus EXC_C14N: http://www.w3.org/2001/10/xml-exc-c14n# |
Das folgende Beispiel enthält WSS-API-Beispielcode, der das X.509-Sicherheitstoken für die Signaturprüfung angibt:
WSSFactory factory = WSSFactory.getInstance();
WSSConsumingContext concont = factory.newWSSConsumingContext();
// X509ConsumeCallbackHandler
X509ConsumeCallbackHandler callbackHandler = new
X509ConsumeCallbackHandler("dsig-receiver.ks",
"jks",
"server".toCharArray(),
certList,
java.security.Security.getProvider("IBMCertPath")46 );
// Prüfkomponente festlegen
// Standardprüfabschnitte: Hauptteil, WS-Addressing-Heade und Zeitmarke
// Standardalgorithmus für Datenverschlüsselung: RSA-SHA1
// Standard-Digest-Algorithmus: SHA1
// Standardkanonisierungsalgorithmus: exc-c14n
WSSVerification ver = factory.newWSSVerification(X509Token.class,
callbackhandler);
concont.add(ver);
// WS-Security-Header validieren
concont.validate(msgctx);