Protección de aplicaciones de servicios web a nivel de transporte
La seguridad a nivel de transporte es un mecanismo bien conocido y utilizado a menudo para proteger las comunicaciones HTTP de Internet e intranet. Se puede utilizar la seguridad a nivel de transporte para proteger los mensajes de servicios web. Las funciones de seguridad a nivel de transporte son independientes de las funciones que se proporcionan mediante la seguridad a nivel de mensajes (WS-Security) o la autenticación básica HTTP.
Antes de empezar
- Utilice la seguridad a nivel de mensajes cuando la
seguridad sea esencial para una aplicación de servicios web. La autenticación básica de HTTP utiliza un nombre de usuario y una
contraseña para autenticar un cliente de servicio en un punto final seguro. La autenticación básica está codificada en la solicitud
HTTP que lleva el mensaje SOAP. Cuando el servidor de aplicaciones recibe la solicitud HTTP, se recuperan el nombre
de usuario y la contraseña, y se verifican utilizando el mecanismo de autenticación
específico del servidor.Importante: Con la seguridad de nivel de servicio, si no está utilizando el puerto SSL (Capa de sockets seguros) de 443, asegúrese de que el punto final de salida dinámico para SSL se configure adecuadamente para la configuración.
- Utilice la seguridad a nivel de transporte para habilitar la autenticación básica. La seguridad a nivel de transporte puede habilitarse o inhabilitarse independientemente de la seguridad a nivel de mensajes. La seguridad a nivel de transporte proporciona una seguridad mínima. Puede utilizar esta configuración cuando un servicio web es un cliente de otro servicio web.
- Utilice SSL para la confidencialidad y la integridad y la autenticación básica HTTP para la autenticación.
- Utilice SSL para la confidencialidad y WS-Security para la autenticación. Por ejemplo, se puede utilizar una señal Username o LTPA para la autenticación.
- Utilice WS-Security para la confidencialidad y la integridad y para la autenticación.
Acerca de esta tarea
Se puede utilizar la seguridad a nivel de transporte para proteger los mensajes de servicios web. Sin embargo, la funcionalidad de seguridad de nivel de transporte es independiente de la funcionalidad proporcionada por WS-Security o Autenticación básica HTTP.
SSL y TLS proporcionan características de seguridad que incluyen la autenticación, la protección de datos y el soporte de señal criptográfica para las conexiones HTTP seguras. Para ejecutarse con HTTPS, la dirección del puerto de servicio debe tener el formato https://. La integridad y la confidencialidad de los datos de transporte, incluidos los mensajes SOAP y la autenticación básica de HTTP, se confirma cuando se utiliza SSL y TLS.
Las aplicaciones de servicios web también pueden
utilizar los cifrados aprobados por FIPS (Federal Information Processing Standard) para
proteger las conexiones TLS.
WebSphere Application Server utiliza el paquete JSSE (Java™ Secure Sockets Extension) para dar soporte a SSL y TLS.
Esta tarea muestra una de las diferentes maneras en las que se puede configurar la seguridad a nivel de transporte de salida HTTP para un servicio web que actúa como cliente para otro servidor de servicio web. También puede configurar la seguridad a nivel de transporte de salida HTTP con una herramienta de ensamblaje o mediante las propiedades Java. Si no configura la seguridad de nivel de transporte de salida HTTP, el tiempo de ejecución de los servicios web difiere del tiempo de ejecución de la seguridad de Java EE (Java Platform, Enterprise Edition) en el producto WebSphere para una configuración SSL (Capa de sockets seguros) efectiva. Si no hay una configuración SSL en el tiempo de ejecución de la seguridad Java EE del producto WebSphere, se utilizan las propiedades del sistema JSSE (Java Secure Socket Extension).
Puede definir propiedades adicionales de transporte HTTP para las aplicaciones de servicios web. Utilice las propiedades adicionales para gestionar la agrupación de conexiones para conexiones de salida HTTP, configurar la codificación de contenido del mensaje HTTP, habilitar la conexión persistente HTTP y volver a enviar la solicitud HTTP cuando se excede el tiempo de espera.