Konsumententoken zum Schutz der Nachrichtenauthentizität validieren
Die Informationen zum Tokenkonsumenten werden auf Konsumentenseite verwendet, um das Sicherheitstoken einzubinden und zu validieren. Benutzernamenstoken, X509-Token und LTPA-Token werden standardmäßig für die Nachrichtenauthentizität verwendet.
Vorbereitende Schritte
Für die Tokenverarbeitung und die Plug-in-Tokenarchitektur in der Laufzeitumgebung von Web Services Security werden dieselbe Sicherheitstokenschnittstelle und das JAAS-Anmeldmodul (Java™ Authentication and Authorization Service) aus den WSS-Anwendungsprogrammierschnittstellen (Web Services Security) wiederverwendet. In der WSS-API und der WSS-SPI in der Laufzeitumgebung von Web Services Security kann dieselbe Implementierung für die Tokenerstellung und -validierung verwendet werden.
Beachten Sie, dass das Element "KeyName" nicht unterstützt wird, weil keine Zusicherung der KeyName-Richtlinie in der aktuellen OASIS-Entwurfsspezifikation für Web Services Security definiert ist.
Informationen zu diesem Vorgang
Der JAAS-Callback-Handler (CallbackHandler) und das JAAS-Anmeldemodul (LoginModule) sind für die Erstellung des Sicherheitstokens auf Generatorseite und die Validierung (Authentifizierung) des Sicherheitstokens auf Konsumentenseite verantwortlich.
Auf Generatorseite werden Benutzernamenstoken beispielsweise vom JAAS-Anmeldemodul erstellt und Authentifizierungdaten vom JAAS-Callback-Handler übergeben. Das JAAS-Anmeldemodul erstellt das Username-SecurityToken-Objekt und übergibt es an die Laufzeitumgebung von Web Services Security.
Anschließend wird auf Konsumentenseite das XML-Format des Benutzernamenstokens zur Validierung oder Authentifizierung an das JAAS-Anmeldemodul übergeben, und der JAAS-Callback-Handler wird verwendet, um die Authentifizierungsdaten von der Laufzeitumgebung von Web Services Security an das Anmeldemodul zu übergeben. Nach der Authentifizierung des Tokens wird ein Username-SecurityToken-Objekt erstellt und an die Laufzeitumgebung von Web Services Security übergeben.
- Sicherheitstoken (SecurityTokenImpl)
- Binäre Sicherheitstoken (BinarySecurityTokenImpl)
- Abgeleitetes Schlüsseltoken
- Sicherheitskontexttoken (SCT)
- Benutzernamenstoken
- LTPA-Tokenweitergabe
- LTPA-Token
- X509PKCS7-Token
- X509PKIPath-Token
- X509v3-Token
- Token des Typs Kerberos v5
Das Benutzernamenstoken, das X.509-Token und das LTPA-Token werden standardmäßig für die Nachrichtenauthentizität verwendet. Das abgeleitete Schlüsseltoken und das X.509-Token werden standardmäßig für Signatur und Verschlüsselung verwendet.
Die WSS-API und die WSS-SPI werden nur auf dem Client unterstützt. Um den Sicherheitstokentyp auf der Konsumentenseite anzugeben, können Sie auch Richtliniensätze über die Administrationskonsole konfigurieren. Für die entsprechenden Generatorsicherheitstoken können Sie die WSS-APIs oder Richtliniensätze verwenden.
Die Standardimplementierungen für das Anmeldemodul und den Callback-Handler sind paarweise zu verwenden, d. h. es ist jeweils ein Generator- und ein Konsumentenabschnitt erforderlich. Zur Verwendung der Standardimplementierungen wählen Sie die Generator- und Konsumentensicherheitstoken in einem Paar aus. Wählen Sie z. B. system.wss.generate.x509 im Tokengenerator und system.wss.consume.x509 im Tokenkonsumenten aus, wenn das X.509-Token erforderlich ist.
Verwenden Sie zum Konfigurieren des Sicherheitstokens auf der Konsumentenseite die entsprechende vorkonfigurierte Sicherheitstokenschnittstelle aus den WSS-APIs für die Konsumentenseite, um die folgenden Schritte für die Tokenkonfiguration auszuführen: