Configurando a Segurança dos Serviços da Web Usando as APIs WSS

A WSS API (Interface de Programação de Aplicativos do Web Services Security) fornece suporte para proteger a mensagem SOAP.

Antes de Iniciar

A Web Service Security suporta os seguintes modelos de programação:

  • API de programação para proteger mensagem SOAP com Segurança de Serviços da Web (API WSS).

    O design do modelo de programação de API foi reprojetado. O novo design é um modelo de programação baseado em interface e ele é baseado nos padrões do Web Services Security Versão 1.1, mas o design também inclui suporte para o Web Services Security Versão 1.0 para proteger a mensagem SOAP. A implementação do modelo de programação da API WSS é uma versão simplificada, que se baseia em uma antiga proposta-rascunho do JSR-183, que é o JSR para definir a ligação da Java™ API para Segurança de Serviços da Web. Pelo projeto, como o código do aplicativo é programado para a interface, qualquer código de aplicativo programado com a implementação de software livre deve poder ser executado no WebSphere Application Server com alterações mínimas ou sem nenhuma alteração.

  • SPI (Service Programming Interfaces) para um provedor de serviços.

    Da mesma forma, a geração de token do tempo de execução da Segurança de Serviços da Web e a SPI de consumo de token foram redesenhadas para que a mesma interface de token de segurança e implementação do Módulo de Login JAAS possam ser usados para ambas, a API WSS e a SPI. A WSS SPI para o provedor de serviços estende os tipos de token de segurança e fornece as chaves e as chaves de derivação para assinatura, verificação de assinatura, criptografia e decriptografia.

Instrução de Uso: Você deve usar a implementação IBM dos padrões de WS-Security no contexto de serviços da Web.

Sobre Esta Tarefa

Esses modelos de programação estendem as seguintes funções:
  • Tipos de token de segurança e chaves de derivação para assinatura
  • Assinatura e verificação
  • Criptografia e decriptografia

A seguinte figura demonstra como utilizar as WSS APIs simplificadas para proteger uma mensagem SOAP, utilizando a assinatura digital XML e criptografia XML.

O modelo de configuração para serviços da Web também foi reprojetado a partir de um modelo do descritor de implementação para um modelo do conjunto de políticas. O modelo de programação de configuração é baseado na configuração dos conjuntos de política que utilizam uma política de segurança para especificar as restrições de segurança.

As funções fornecidas pelas configurações do conjunto de políticas são as mesmas funções suportadas pela API WSS para o tempo de execução da Segurança de Serviços da Web. No entanto, a política de segurança que é definida utilizando os conjuntos de política possui uma prioridade superior sobre a WSS API. Quando a WSS API e o conjunto de política forem utilizados no aplicativo, o comportamento padrão é que a política de segurança do conjunto de política seja reforçada e a WSS API seja ignorada. Para utilizar a WSS API no aplicativo, é necessário certificar-se de que não exista nenhum conjunto de política anexado ao aplicativo ou aos recursos do aplicativo ou certificar-se de que não exista política de segurança no conjunto de política anexado.

O Web Service Security pode ser ativado utilizando um conjunto de política que é configurado utilizando o console administrativo ou utilizando a WSS API para configuração.

Utilizando a WSS API, conclua as seguintes etapas de nível superior para proteger a mensagem SOAP:

Procedimento

  1. Utilize a API WSSSignature para configurar as informações sobre assinatura para a ligação do gerador de pedido (lado do cliente). Diferentes partes da mensagem podem ser especificadas na proteção da mensagem para um pedido no lado do gerador. As partes necessárias padrão são BODY, ADDRESSING_HEADERS e TIMESTAMP.

    A API WSSSignature também especifica diferentes métodos do algoritmo a serem utilizados com a assinatura para proteção de mensagens. O método de assinatura padrão é RSA_SHA1. O método de canonicalização padrão é EXC_C14N.

  2. Utilize a API WSSSignPart, se você desejar incluir ou alterar as partes assinadas para que sejam utilizadas para proteção de mensagens. As partes assinadas padrão são WSSSignature.BODY, WSSSignature.ADDRESSING_HEADERS e WSSSignature.TIMESTAMP.

    A API WSSSignPart também especifica os diferentes métodos de algoritmo a serem utilizados, se você incluiu ou alterou as partes assinadas. O método de compilação padrão é SHA1. O método de transformação padrão é TRANSFORM_EXC_C14N. Por exemplo, utilize a API WSSSignPart, se você deseja gerar a assinatura para a mensagem SOAP utilizando o método de compilação SHA256 em vez do valor padrão de SHA1.

  3. Utilize a API WSSEncryption para configurar as informações de criptografia no lado do gerador de pedido. As informações de criptografia no gerador são usadas para criptografar uma mensagem SOAP enviada para ligações do gerador de pedido (cliente). Os destinos padrão para criptografia são BODY_CONTENT e SIGNATURE

    A API WSSEncryption também especifica diferentes métodos de algoritmo a serem utilizados para proteger o sigilo da mensagem. O método de criptografia de dados padrão é AES128. O método de criptografia de chave padrão é KW_RSA_OAEP.

  4. Utilize a API WSSEncryptPart, se você deseja incluir ou alterar as partes criptografadas a serem utilizadas para sigilo da mensagem. Por exemplo, se você deseja alterar o método de criptografia de dados a partir do valor padrão de AES128 para TRIPLE_DES.

    Nenhum método de algoritmo será necessário para as partes criptografadas.

  5. Utilize a WSS API para conectar o token no lado do gerador. Os requisitos para o token de segurança dependem do tipo de token. O Módulo de Login JAAS e o JAAS CallbackHandler são responsáveis por criar o token de segurança no lado do gerador. Tokens diferentes independentes podem ser enviados em pedido ou resposta. O token padrão é X509Token. O outro token que pode ser utilizado para assinar é DerivedKeyToken, que é utilizado apenas com WS-SecureConversation (Web Services Secure Conversation).
  6. Utilize a API WSSVerification para verificar a assinatura para a ligação do consumidor de resposta (lado do cliente). Diferentes partes da mensagem podem ser especificadas na proteção da mensagem para uma resposta no lado do consumidor. Os destinos necessários para verificação são BODY, ADDRESSING_HEADERS e TIMESTAMP.

    A API WSSVerification também especifica os diferentes métodos de algoritmo a serem utilizados para verificar a assinatura e para proteção de mensagens. O método de assinatura padrão é RSA_SHA1. O método de canonicalização padrão é EXC_C14N.

  7. Utilize a API WSSVerifyPart para incluir ou alterar as partes assinadas a serem utilizadas para proteção de mensagens. As partes de verificação necessárias são WSSVerification.BODY, WSSVerification.ADDRESSING_HEADERS e WSSVerification.TIMESTAMP.

    A API WSSVerifyPart também especifica diferentes métodos de algoritmo a serem utilizados, se você incluiu ou alterou as partes de verificação. O método de compilação padrão é SHA1. O método de transformação padrão é TRANSFORM_EXC_C14N.

  8. Utilize a API WSSDecryption para configurar as informações de decriptografia para a ligação do consumidor de resposta (lado do cliente). As informações de decriptografia no lado do consumidor são utilizadas para decriptografar uma mensagem SOAP de entrada. Os destinos padrão da decriptografia são BODY_CONTENT e SIGNATURE. O método de criptografia de dados padrão é AES128. O método de criptografia de chave padrão é KW_RSA_OAEP.

    Nenhum método de algoritmo será necessário para decriptografia.

  9. Utilize a API WSSDecryptPart se você desejar incluir ou alterar as partes decriptografadas a serem utilizadas para sigilo de mensagem. Por exemplo, se você deseja alterar o método de criptografia de dados a partir do valor padrão de AES128 para TRIPLE_DES.

    Nenhum método de algoritmo será necessário para as partes decriptografadas.

  10. Utilize a WSS API para configurar o token no lado do consumidor. Os requisitos para o token de segurança dependem do tipo de token. O Módulo de Login JAAS e o JAAS CallbackHandler são responsáveis por validar (autenticar) o token de segurança no lado do consumidor. Tokens diferentes independentes podem ser enviados em pedido ou resposta.

    A WSS API inclui as informações para o token candidato que é utilizado para decriptografia. O token padrão é X509Token.

Resultados

O que Fazer Depois

A geração de token do tempo de execução da Segurança de Serviços da Web e a SPI (Service Programming Interfaces) de consumo de token foram redesenhadas para que a mesma interface de token de segurança e implementação do Módulo de Login JAAS possam ser usados para ambas, a API WSS e a SPI. Consulte as informações SPI para obter as descrições de detalhe.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confwssapi
Nome do arquivo: twbs_confwssapi.html