Lightweight Third Party Authentication
Ao utilizar o método LTPA (Lightweight Third Party Authentication), o token de segurança <wsse:BinarySecurityToken> é gerado. No emissor do pedido, o token de segurança é gerado chamando-se um manipulador de retorno de chamada. No receptor de pedidos, o token de segurança é validado por um módulo de login JAAS (Java™ Authentication and Authorization Service).
As informações a seguir descrevem as operações de geração de token e validação de token.
- Geração de token LTPA
- O emissor do pedido utiliza um manipulador de retorno de chamada para gerar
um token de segurança LTPA. O manipulador de retorno de chamada retorna um token
de segurança que é inserido na mensagem SOAP. Especifique o manipulador de retorno de chamada apropriado no elemento <LoginBinding> do arquivo de ligações (ibm-webservicesclient-bnd.xmi).
A implementação de manipulador de retorno de chamada a seguir pode ser utilizada com o método de
autenticação LTPA:
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
É possível incluir suas próprias rotinas de tratamento de retorno de chamada que implementem a propriedade javax.security.auth.callback.CallbackHandler.
Ao utilizar o método de autenticação LTPA (ou qualquer método de autenticação diferente de BasicAuth, Signature ou IDAssertion), o atributo TokenValueType do elemento <LoginBinding> no arquivo de ligações (ibm-webservicesclient-bnd.xmi) precisa ser especificado. Os valores a serem utilizados para o atributo TokenValueType de LTPA são:- uri="http://www.ibm.com/websphere/appserver/tokentype/5.0.2"
- localName="LTPA"
- Validação de token LTPA
- O receptor do pedido recupera o token de segurança LTPA da mensagem SOAP
e valida a mensagem utilizando um módulo de login JAAS.
O token de segurança <wsse:BinarySecurityToken> é utilizado para executar a validação. Se a validação
obtiver êxito, o módulo de login retorna um assunto do JAAS. Subseqüentemente, esse assunto é definido como a identidade do encadeamento em execução. Se a validação falhar,
o pedido é rejeitado com uma falha SOAP.
A configuração de login JAAS apropriada para utilização é especificada no elemento <LoginMapping> do arquivo de ligações. Há ligações padrão especificadas no arquivo ws-security.xml, mas elas podem ser substituídas utilizando o arquivo ibm-webservices-bnd.xmi específico do aplicativo. As informações de configuração consistem em uma CallbackHandlerFactory, um ConfigName e um atributo TokenValueType. A CallbackHandlerFactory especifica o nome de uma classe a ser utilizada para criar o objeto CallbackHandler de JAAS. Uma implementação CallbackHandlerFactory é fornecida (com.ibm.wsspi.wssecurity.auth.callback.WSCallbackHandlerFactoryImpl). O atributo ConfigName especifica uma entrada de nome de configuração JAAS. O tempo de execução de segurança dos serviços da Web primeiro pesquisa o arquivo security.xml para obter entrada correspondente e, se a entrada correspondente não for localizada, o tempo de execução procura o arquivo wsjaas.conf. Uma entrada de configuração padrão adequada para o método de autenticação LTPA é fornecida (WSLogin). Um elemento TokenValueType apropriado está localizado na seção LTPA LoginMapping do arquivo ws-security.xml padrão.