使用 WSS API 连接生成器令牌以保护消息真实性
指定令牌生成器时,生成器端使用该信息来生成安全性令牌。
开始之前
Web Service 安全性运行时中的令牌处理和可插入令牌体系结构复用 Web Service 安全性 API (WSS API) 中的同一安全性令牌接口和 Java™ 认证和授权服务 (JAAS) 登录模块。 可以在 Web Service 安全性运行时的 WSS API 和 WSS SPI 中使用令牌创建和验证的同一实现。
注意,由于在当前的 OASIS Web Services Security 草稿规范中未定义任何 KeyName 策略声明,所以在应用程序服务器中不支持键名称 (KeyName) 元素。
关于此任务
JAAS 回调处理程序 (CallbackHandler) 和 JAAS 登录模块 (LoginModule) 负责在生成器端创建安全性令牌,并在使用者端验证(认证)安全性令牌。
例如,在生成器端,用户名令牌由 JAAS LoginModule 创建并使用 JAAS CallbackHandler 来传递认证数据。JAAS LoginModule 创建 Username SecurityToken 对象并将其传递到 Web Service 安全性运行时。
然后,在使用者端,Username Token XML 格式将传递到 JAAS LoginModule 以进行验证或认证,并且 JAAS CallbackHandler 用于将认证数据从 Web Service 安全性运行时传递到 LoginModule。对令牌进行认证后,将创建 Username SecurityToken 对象,该对象会将令牌传递到 Web Service 安全性运行时。
- 安全性令牌 (SecurityTokenImpl)
- 二进制安全性令牌 (BinarySecurityTokenImpl)
- 派生密钥令牌
- 安全上下文令牌 (SCT)
- 用户名令牌
- LTPA 令牌传播
- LTPA 令牌
- X509PKCS7 令牌
- X509PKIPath 令牌
- X509v3 令牌
- Kerberos v5 令牌
缺省情况下,使用用户名令牌、X.509 令牌和 LTPA 令牌来保护消息真实性。缺省情况下,使用派生密钥令牌和 X.509 令牌进行签署和加密。
仅客户机支持 WSS API 和 WSS SPI。要在生成器端指定安全性令牌类型,您也可以使用管理控制台来配置策略集。还可以使用 WSS API 或策略集来匹配使用者安全性令牌。
缺省登录模块和回调实现设计为用作一对,表示生成器和使用者部件。要使用缺省实现,请选择适当的生成器/使用者安全性令牌对。例如,如果需要 X.509 令牌,那么在令牌生成器中选择 system.wss.generate.x509 并在令牌使用者中选择 system.wss.consume.x509。
要配置生成器端安全性令牌,请使用 WSS API 中经过预先配置的适当令牌生成器接口来完成下列令牌配置过程步骤: