Web Services Security mit den WSS-APIs konfigurieren
Die Anwendungsprogrammierschnittstellen von Web Services Security (WSS-APIs) bieten Unterstützung für das Sichern von SOAP-Nachrichten.
Vorbereitende Schritte
Web Services Security unterstützt die folgenden Programmiermodelle:
- Programmierungs-API für das Sichern von SOAP-Nachrichten mit Web Services Security (WSS-API).
Das API-Programmiermodelldesign wurde neu gestaltet. Das neue Design ist ein schnittstellenbasiertes Programmiermodell und basiert auf den Standards von Web Services Security Version 1.1, enthält aber auch Unterstützung für Web Services Security Version 1.0 zum Sichern von SOAP-Nachrichten. Die Implementierung des Programmiermodells mit der WSS-API ist eine vereinfachte Version, die auf einem früheren Entwurfsvorschlag von JSR-183 basiert, einer JSR (Java Specification Request) für die Definition einer Java™-API-Bindung für Web Services Security. Da der Anwendungscode gemäß Design für die Schnittstelle programmiert wird, muss jeder Anwendungscode, der mit der Open-Source-Implementierung programmiert ist, mit minimalen oder überhaupt keinen Änderungen in WebSphere Application Server ausgeführt werden können.
- Serviceprogrammierschnittstelle (SPI, Service Programming Interface) für einen Service-Provider
Die SPIs für das Generieren und Konsumieren von Token in der Laufzeitumgebung von Web Services Security wurden ebenfalls neu gestaltet, so dass dieselbe Sicherheitstokenschnittstelle und dieselbe Implementierung des JAAS-Anmeldemoduls für die WSS-API und die SPI verwendet werden können. Die WSS-SPI für den Service-Provider erweitert die Sicherheitstokentypen und stellt Schlüssel und Ableitungsschlüssel für die Signatur, die Signaturprüfung, Verschlüsselung und Entschlüsselung bereit.
Informationen zu diesem Vorgang
- Sicherheitstokentypen und Ableitung von Schlüsseln für die Signatur
- Signatur und Prüfung
- Verschlüsselung und Entschlüsselung
Die folgende Abbildung veranschaulicht, wie die vereinfachten WSS-APIs verwendet werden, um eine SOAP-Nachricht durch digitale XML-Signatur und XML-Verschlüsselung zu sichern.
Das Konfigurationsmodell für Web-Services wurde ebenfalls von einem Implementierungsdeskriptormodell auf ein Richtliniensatzmodell umgestellt. Das Konfigurationsprogrammiermodell basiert auf der Konfiguration von Richtliniensätzen über eine Sicherheitsrichtlinie, die die Integritätsbedingung für die Sicherheit vorgibt.
Die von den Richtliniensatzkonfigurationen bereitgestellten Funktionen entsprechen den Funktionen, die von der WSS-API für die Laufzeitumgebung von Web Services Security unterstützt werden. Die über Richtliniensätze definierte Sicherheitsrichtlinie hat jedoch eine höhere Priorität als die WSS-API. Wenn die WSS-API und der Richtliniensatz in der Anwendung verwendet werden, wird die Sicherheitsrichtlinie standardmäßig über den Richtliniensatz aktiviert, und die WSS-API wird ignoriert. Wenn Sie die WSS-API in der Anwendung verwenden möchten, müssen Sie sicherstellen, dass der Anwendung oder den Anwendungsressourcen kein Richtliniensatz zugeordnet ist bzw. keine Sicherheitsrichtlinie im zugeordneten Richtliniensatz enthalten ist.
Web Services Security kann über einen Richtliniensatz, der in der Administrationskonsole konfiguriert wird, oder über die WSS-API für die Konfiguration aktiviert werden.
Führen Sie unter Verwendung der WSS-API die folgenden übergeordneten Schritte aus, um die SOAP-Nachricht zu sichern:
Vorgehensweise
Ergebnisse
Nächste Schritte
Die SPIs für das Generieren und Konsumieren von Token in der Laufzeitumgebung von Web Services Security wurden ebenfalls neu gestaltet, so dass dieselbe Sicherheitstokenschnittstelle und dieselbe Implementierung des JAAS-Anmeldemoduls für die WSS-API und die SPI verwendet werden können. Ausführliche Beschreibungen finden Sie in den SPI-Informationen.