Web Services Trust 标准
Web Services Trust (WS-Trust) 是结构化信息标准促进组织 (OASIS) 的提议标准,通过定义请求/响应协议来支持安全性令牌互操作性。此协议允许 SOAP 参与者(例如,Web Service 客户机)请求对另一参与者交换特定安全性令牌的一些可信权限。WebSphere® Application Service 提供的信任服务使用 WS-Trust 的安全消息传递机制来定义安全性令牌分发、交换和验证的附加扩展。
WS-Trust 定义用于安全性令牌交换的请求和响应协议。客户机向安全性令牌服务发送 RequestSecurityToken (RST)。请求包括客户机要求交换的安全性令牌。安全性令牌服务回应包含新令牌的 RequestSecurityTokenResponse (RSTR)。
除了令牌交换之外,WS-Trust 请求/响应协议一般足以支持令牌发出,其中客户机向信任服务提出通过发出相应的安全性令牌授权服务的要求。令牌验证就是客户机向信任服务提供令牌并要求确定其身份。
另外,WS-Trust 支持在不同的信任域中发出和传播凭证。为了保护两方之间的通信,两方必须直接或间接地交换安全性凭证。每一方都首先必须确定它们是否可信任另一方声明的凭证。
OASIS WS-Trust 规范定义 Web Service 安全性 (WS-Security) 的扩展,用于分发和交换安全性令牌,提供建立信任关系并对其进行访问的方法。通过使用这些扩展,应用程序可参与安全通信,并且这些扩展旨在与常规 Web Service 框架配合使用。常规 Web Service 框架包括 WSDL 服务描述、UDDI businessServices 和 bindingTemplates 以及 SOAP 消息。
WebSphere Application Server 的 WS-Trust 支持主要是为 Web Services Secure Conversation (WS-SecureConversation) 建立安全上下文令牌。 WS-Trust 支持主要用于安全上下文令牌的四种操作:分发、更新、验证和取消。同样,WS-Trust V1.3 支持的是相同操作(分发、更新、验证和取消)的集合请求。WebSphere Application Server 支持的 WS-Trust 的主要组件是安全性令牌服务,称为信任服务。
对 WS-Trust 标准的提交草稿和已批准级别的支持
WebSphere Application Server V6.1 及更高版本支持 WS-Trust 2005 Submission Draft 规范 (V1.1)。但是,WebSphere Application Server 不提供全部的安全性令牌服务,因而不能实现 WS-Trust 草稿规范中的所有内容。
对已批准的 V1.3 规范(2007 年 3 月发布)的支持(该规范适用于 WebSphere Application Server V7.0 和更高版本)。安全上下文令牌 (SCT) 提供程序支持 WS-Trust 和 WS-SecureConversation 的 OASIS V1.3 规范。程序包含的一个配置选项允许对同一服务器上同时存在的两种不同级别 WS-Trust 标准的支持。这为支持不同规范级别的系统和产品之间提供了互操作性。 请参阅“使用管理控制台配置信任服务的安全上下文令牌提供程序”主题,获取详细信息。
另外还提供了一个设置,以特别禁用安全上下文令牌提供程序对 WS-Trust 2005 Submission Draft 规范 (V1.1) 的支持。 关于该属性的更多信息,请参阅“禁用安全上下文令牌的草稿标准级别”主题。
根据请求中引用的规范处理信任服务请求。同样,信任服务响应取决于请求使用的规范级别。
- 请在以下位置查看规范模式:http://docs.oasis-open.org/ws-sx/ws-trust/200512
- 请参阅 2007 年 3 月发布的 Web Services Trust Language (WS-Trust) 规范中用于 WS-Trust 的 wst 名称空间前缀。