使用 WSS API 时的 Web Service 安全性配置注意事项

要保护 WebSphere® Application Server 的 Web Service 安全性,您可以使用 Web Service 安全性 API (WSS API) 来指定多个不同的配置。Web Service 安全性规范通过使用 XML 数字签名、XML 加密和连接安全性令牌来灵活地保护 Web Service 消息。可通过配置策略集或使用 Web Service 安全性 API (WSS API) 来启用 Web Service 安全性。WSS API 的实现具有缺省值,要为消息部件进行签名或加密。WSS API 的缺省值帮助最终用户快速启用 Web Service 安全性。

可以在请求或响应的消息保护中指定不同的消息部件,并且在请求或响应中发送不同的独立令牌。但是,只有一个对称绑定标识或一个非对称绑定标识来描述用于保护消息的令牌类型和算法。

通过使用 WSS API,可以覆盖任何缺省值。但是请注意,当您改变保护部件时,所有缺省保护部件都已被清除。例如,如果指定您想对用户名令牌而不是缺省 X.509 令牌进行加密,那么将清除加密保护部件的所有缺省值。

下表显示每个配置之间关系的示例:

表 1. 请求生成者和响应使用者配置. 使用该表来确定配置和缺省值之间的映射。
配置类型 配置名称 配置和缺省值
请求生成者 签名信息
  • 规范方法:WSSSignature.EXC_C14N
  • 签名方法:WSSSignature.RSA_SHA1
  • 摘要方法:WSSSignPart.SHA1
  • 变换方法:WSSSignPart.TRANSFORM_EXC_C14N
  • 已签名部件 - 主体:WSSSignature.BODY
  • 已签名部件 - 寻址:WSSSignature.ADDRESSING_HEADERS
  • 已签名部件 - 时间戳记:WSSSignature.TIMESTAMP
  • 令牌引用:SecurityToken.REF_STR
  • 令牌 - 值类型:X509Token.ValueType
  • 令牌 - JAAS 登录配置名称:system.wss.generate.x509
响应使用者 签名验证信息
  • 规范方法:WSSVerification.EXC_C14N
  • 签名方法:WSSVerification.RSA_SHA1
  • 变换方法:WSSVerifyPart.TRANSFORM_EXC_C14N
  • 已签名部件 - 主体:WSSVerification.BODY
  • 已签名部件 - 寻址:WSSVerification.ADDRESSING_HEADERS
  • 已签名部件 - 时间戳记:WSSVerification.TIMESTAMP
  • 令牌 - 值类型:X509Token.ValueType
  • 令牌 - JAAS 登录配置名称:system.wss.consume.x509
请求生成者 加密信息
  • 已加密密钥:true
  • 密钥加密方法:WSSEncryption.KW_RSA_OAEP
  • 数据加密方法:WSSEncryption.AES128
  • 加密部件:WSSEncryption.BODY_CONTENT
  • 令牌引用:SecurityToken.REF_KEYID
  • 令牌 - 值类型:X509Token.ValueType
  • 令牌 - JAAS 登录配置名称:system.wss.generate.x509
响应使用者 解密信息
  • 已加密密钥:true
  • 密钥解密方法:WSSDecryption.KW_RSA_OAEP
  • 数据解密方法:WSSDecryption.AES128
  • 解密部件:WSSDecryption.BODY_CONTENT
  • 令牌 - 值类型:509Token.ValueType
  • 令牌 - JAAS 登录配置名称:system.wss.consume.x509

指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_wssconfigconsiderjaxws
文件名:rwbs_wssconfigconsiderjaxws.html