Mit den WSS-APIs Generatortoken zum Schutz der Nachrichtenauthentizität zuordnen
Wenn Sie den Tokengenerator angeben, werden die Informationen auf der Generatorseite zum Generieren des Sicherheitstokens verwendet.
Vorbereitende Schritte
Für die Tokenverarbeitung und die Plug-in-Tokenarchitektur in der Laufzeitumgebung von Web Services Security werden dieselbe Sicherheitstokenschnittstelle und das JAAS-Anmeldmodul (Java™ Authentication and Authorization Service) aus den WSS-Anwendungsprogrammierschnittstellen (Web Services Security) wiederverwendet. In der WSS-API und der WSS-SPI in der Laufzeitumgebung von Web Services Security kann dieselbe Implementierung für die Tokenerstellung und -validierung verwendet werden.
Beachten Sie, dass das Element "KeyName" nicht im Anwendungsserver unterstützt wird, weil keine Zusicherung der KeyName-Richtlinie in der aktuellen OASIS-Entwurfsspezifikation Web Services Security definiert ist.
Informationen zu diesem Vorgang
Der JAAS-Callback-Handler (CallbackHandler) und das JAAS-Anmeldemodul (LoginModule) sind für die Erstellung des Sicherheitstokens auf Generatorseite und die Validierung (Authentifizierung) des Sicherheitstokens auf Konsumentenseite verantwortlich.
Auf Generatorseite werden Benutzernamenstoken beispielsweise vom JAAS-Anmeldemodul erstellt und Authentifizierungsdaten vom JAAS-Callback-Handler übergeben. Das JAAS-Anmeldemodul erstellt das Username-SecurityToken-Objekt und übergibt es an die Laufzeitumgebung von Web Services Security.
Anschließend wird auf Konsumentenseite das XML-Format des Benutzernamenstokens zur Validierung oder Authentifizierung an das JAAS-Anmeldemodul übergeben, und der JAAS-Callback-Handler wird verwendet, um die Authentifizierungsdaten von der Laufzeitumgebung von Web Services Security an das Anmeldemodul zu übergeben. Nach der Authentifizierung des Tokens wird ein Username-SecurityToken-Objekt erstellt und an die Laufzeitumgebung von Web Services Security übergeben.
- Sicherheitstoken (SecurityTokenImpl)
- Binäre Sicherheitstoken (BinarySecurityTokenImpl)
- Abgeleitetes Schlüsseltoken
- Sicherheitskontexttoken (SCT)
- Benutzernamenstoken
- LTPA-Tokenweitergabe
- LTPA-Token
- X509PKCS7-Token
- X509PKIPath-Token
- X509v3-Token
- Token des Typs Kerberos v5
Das Benutzernamenstoken, das X.509-Token und das LTPA-Token werden standardmäßig für die Nachrichtenauthentizität verwendet. Das abgeleitete Schlüsseltoken und das X.509-Token werden standardmäßig für Signatur und Verschlüsselung verwendet.
Die WSS-API und die WSS-SPI werden nur auf dem Client unterstützt. Um den Sicherheitstokentyp auf der Generatorseite anzugeben, können Sie auch Richtliniensätze über die Administrationskonsole konfigurieren. Für die entsprechenden Konsumentensicherheitstoken können Sie die WSS-APIs oder Richtliniensätze verwenden.
Die Standardimplementierungen für das Anmeldemodul und den Callback-Handler sind paarweise zu verwenden, d. h. es ist jeweils ein Generator- und ein Konsumentenabschnitt erforderlich. Zur Verwendung der Standardimplementierungen wählen Sie die Generator- und Konsumentensicherheitstoken in einem Paar aus. Wählen Sie z. B. system.wss.generate.x509 im Tokengenerator und system.wss.consume.x509 im Tokenkonsumenten aus, wenn das X.509-Token erforderlich ist.
Verwenden Sie zum Konfigurieren des Sicherheitstokens auf der Generatorseite die entsprechende vorkonfigurierte Sicherheitstokenschnittstelle aus den WSS-APIs für die Generatorseite, um die folgenden Schritte für die Tokenkonfiguration auszuführen: