用户名令牌
<UsernameToken> 元素传播用户名,并且可以选择传播密码信息。使用此令牌类型来传递基本认证信息。
要点: V5.x 与 V6.0.x 及更高版本的应用程序之间存在重要差别。这些信息仅支持与 WebSphere® Application Server V6.0.x 和更高版本配合使用的 V5.x 应用程序。这些信息不适用于 V6.0.x 和更高版本的应用程序。
用户名和密码都用于认证消息。在身份断言中包含用户名的 <UsernameToken> 元素。身份断言根据信任关系来建立用户的标识。
以下示例显示了 <UsernameToken> 元素的语法:
<UsernameToken Id="...">
<Username>...</Username>
<Password Type="...">...</Password>
</UsernameToken>
Web Services 安全规范定义下列密码类型:
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText(缺省值)
- 此类型是用户名的实际密码。
- http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest
- 此类型是用户名的密码的摘要。值是 UTF8 编码的密码的基本 64 位编码 SHA1 散列值。
WebSphere Application Server 支持缺省 PasswordText 类型。但它不支持密码摘要,这是因为大多数用户注册表安全策略不对应用软件列出密码。
以下示例说明了 <UsernameToken> 元素的用法:
<S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope"
xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/04/secext">
<S:Header>
...
<wsse:Security>
<wsse:UsernameToken>
<wsse:Username>Joe</wsse:Username>
<wsse:Password>ILoveJava</wsse:Password>
</wsse:UsernameToken>
</wsse:Security>
</S:Header>
</S:Envelope>