Incluindo Partes Criptografadas Utilizando a API WSSEncryptPart

É possível proteger as mensagens SOAP, sem usar os conjuntos de política para configuração, utilizando as WSS APIs (Web Services Security APIs). Para configurar partes criptografadas das ligações do gerador de pedido (lado do cliente), utilize a API WSSEncryptPart para definir e incluir a lista de elementos na parte criptografada. WSSEncryptPart é uma interface que faz parte do pacote com.ibm.websphere.wssecurity.wssapi.encryption.

Antes de Iniciar

Você pode utilizar as APIs WSS ou configurar conjuntos de política utilizando o console administrativo para ativar as partes criptografadas. Para proteger as mensagens SOAP, utilize as WSS APIs para concluir as seguintes tarefas de criptografia, conforme necessário:

  • Configure a criptografia e escolha os métodos de criptografia utilizando a API WSSEncryption.
  • Configure as partes criptografadas utilizando a API WSSEncryptpart, conforme necessário.

Sobre Esta Tarefa

As configurações de sigilo necessitam que as restrições de sigilo sejam aplicadas às mensagens geradas. Essas restrições incluem a especificação de quais partes da mensagem gerada devem ser criptografadas e a quais partes anexar elementos criptografados. As informações sobre criptografia no lado do gerador são utilizadas para criptografar uma mensagem SOAP que sai. O gerador de pedido é configurado para o cliente.

A API WSSEncryptPart especifica informações relacionadas às partes criptografadas e define as partes criptografadas que foram incluídas para proteção do sigilo da mensagem. Utilize a WSSEncryptPart para definir o método de transformação e especificar a parte à qual o método de transformação será aplicado. Ele configura o método de transformação apenas se estiver usando SOAP com anexos. A WSSEncryptPart normalmente não é necessária, exceto em alguns casos como tarefas de configuração do método de transformação.

As partes criptografadas e as informações relacionadas exibidas na tabela a seguir são utilizadas para proteger o sigilo das mensagens.

Tabela 1. Partes Criptografadas. Utilize as partes criptografadas para proteger mensagens.
Partes Criptografadas Description
part Inclui o objeto WSSEncryptPart como um destino da parte de criptografia.
keyword

Inclui as partes criptografadas utilizando palavras-chave. As partes de criptografia padrão que você pode incluir utilizando palavras-chave são BODY_CONTENT e SIGNATURE. O WebSphere Application Server suporta o uso destas palavras-chave:

  • BODY_CONTENT
  • SIGNATURE
xpath Inclui a parte criptografada utilizando uma expressão XPath.
assinatura Inclui o componente WSSSignature como destino da parte criptografada.

WSSSignature só será aplicável se a mensagem SOAP contiver um elemento de assinatura.

header Inclui o cabeçalho SOAP, especificado por QName, como um destino da parte criptografada.
securityToken Inclui o objeto SecurityToken como um destino da parte criptografada.

Para partes criptografadas, ocorrem determinados comportamentos padrão. A maneira mais simples de utilizar a API WSSEncryptPart é utilizar o comportamento padrão. A API WSSEncryptPart fornece padrões para especificar o algoritmo de transformação, definir objetos como destinos, especificar as partes criptografadas, como assinatura e conteúdo do corpo SOAP.

Os comportamentos padrão de criptografia incluem:

Tabela 2. Decisões da Parte Criptografada. Várias partes de mensagem criptografada são configuradas por padrão.
Decisões da Parte Criptografada Comportamento Padrão
Quais partes da mensagem SOAP criptografar utilizando as palavras-chave

Especifica quais palavras-chave utilizar para as partes criptografadas. O WebSphere Application Server configura as seguintes partes da mensagem SOAP por padrão para criptografia:

  • WSSEncryption.BODY_CONTENT
  • WSSEncryption.SIGNATURE
Qual método de transformação incluir

O WebSphere Application Server não especifica nenhum método de transformação por padrão. Especifique um método de transformação apenas se estiver utilizando o SOAP com Conexões.

Procedimento

  1. Para criptografar as partes da mensagem SOAP utilizando a API WSSEncryptPart, primeiro assegure-se de que o servidor de aplicativos esteja instalado.
  2. O processo da API WSS utilizando WSSEncryptPart segue estas etapas de processo:
    1. Usa WSSFactory.getInstance() para obter a instância de implementação da API WSS.
    2. Cria a instância WSSGenerationContext a partir da instância WSSFactory.
    3. Cria o SecurityToken do WSSFactory para configurar a criptografia.
    4. Cria o WSSEncryption da instância WSSFactory utilizando o SecurityToken.
    5. Cria o WSSEncryptPart do WSSFactory.
    6. Inclui as partes a serem criptografadas e aplicadas com a transformação em WSSEncryptPart. O WebSphere Application Server configura estas partes criptografadas por padrão para WSSEncryptPart: BODY_CONTENT e SIGNATURE. Depois de incluir outras partes criptografadas, os valores padrão não são mais válidos. Por exemplo, se você chamar addEncryptPart(securityToken, false), somente o token de segurança será criptografado, e não a assinatura e o conteúdo do corpo. Por isso, se você quiser criptografar o token de segurança, a assinatura e o conteúdo do corpo, deverá chamar addEncryptPart(securityToken, false), addEncryptPart(WSSEncryption.SIGNATURE) e addEncryptPart(WSSEncrypyion.BODY_CONTENT).
    7. Configura o método de transformação.
    8. Inclui WSSEncryptPart em WSSEncryption.
    9. Inclui WSSEncryption em WSSGenerationContext.
    10. Chama WSSGenerationContext.process() com SOAPMessageContext.

Resultados

Se houver uma condição de erro durante a criptografia das partes da mensagem, uma WSSException será fornecida. Se ocorrer êxito, a API chamará o WSSGenerationContext.process(), o cabeçalho da WS-Security será gerado, e a mensagem SOAP agora estará protegida usando a Segurança de Serviços da Web.

O que Fazer Depois

Depois de ativar as partes criptografadas para a ligação do gerador de pedido (lado do cliente), você deverá especificar as mesmas partes para serem decriptografadas para as ligações do consumidor de resposta (lado do cliente). Em seguida, para configurar a decriptografia e as partes decriptografadas, utilize as APIs WSS ou configure conjuntos de política utilizando o console administrativo.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_confwssencryptsecretkey
Nome do arquivo: twbs_confwssencryptsecretkey.html