平台配置和绑定的概述
在使用 JAX-RPC 编程模型时,将在 Web Service 部署描述符的 IBM® 扩展中指定 Web Service 安全性策略,在使用 JAX-WS 编程模型时,将在策略集中指定该安全策略。对于 JAX-RPC 和 JAX-WS 编程模型,用于支持 Web Service 安全性策略的绑定信息存储在 Web Service 部署描述符的 IBM 扩展中。

由于这些文件的复杂性,建议您不要使用文本编辑器手动编辑部署描述符和绑定文件,这是因为它们可能会导致错误。但是,建议您使用由 IBM 提供的工具来配置应用程序的 Web Service 安全性约束。这些工具是 WebSphere Application Server 管理控制台或组装工具。有关 IBM 组装工具的更多信息,请参阅组装工具信息。
由于策略集将安全性以及其他 Web Service 设置分组为可复用的单元,因此可以使用 WebSphere Application Server 的策略集功能来简化您的 Web Service 配置。策略集是有关如何定义服务质量的声明。策略集包含策略类型及其设置。
除了应用程序部署描述符和绑定文件以外,WebSphere Application Server V6 和更高版本还具有单元级别和服务器级别的配置。这些配置对于所有的应用程序都是全局的。由于 WebSphere Application Server V6 和更高版本支持 5.x 应用程序,因此某些配置仅对于 V5.x 应用程序有效,而某些配置仅对于 V6 和更高版本的应用程序有效。
下图表示应用程序部署描述符和绑定文件与单元(仅适用于 WebSphere Application Server Network Deployment)或服务器级别配置的关系。
平台配置
- 现时标志高速缓存超时
- 在单元级别(仅适用于 WebSphere Application Server Network Deployment)和服务器级别上发现的此选项指定现时标志的高速缓存超时值(以秒计)。
- 现时标志最大时限
- 在单元级别(仅适用于 WebSphere Application Server Network Deployment)和服务器级别上发现的此选项指定现时标志的缺省生存期(以秒计)。
- 现时标志时钟偏差
- 在单元级别(仅适用于 WebSphere Application Server Network Deployment)和服务器级别上发现的此选项指定缺省时钟偏差以说明网络延迟、处理延迟等等。当现时标志到期时,会使用它来计算。它的度量单位是秒。
- 分布现时标志高速缓存
- 此功能使您能将现时标志的高速缓存分布到集群中不同的服务器。适用于 WebSphere Application Server V6.0.x 和更高版本。
- 密钥定位器
- 此功能指定如何为签署、加密和解密检索密钥。密钥定位器的实现类在 WebSphere Application Server V6 和更高版本中与在 V5.x 中不同。
- 证书集合库
- 此功能指定证书路径验证的证书库。它在签名验证期间通常用于验证 X.509 令牌或用证书撤销列表构造 X.509 令牌,此证书撤销列表以 PKCS#7 格式编码。只有 WebSphere Application Server V6.x 和更高版本的应用程序才支持证书撤销列表。
- 信任锚
- 此功能指定签署者证书的可信级别,而且在签名验证期间它通常用于 X.509 令牌验证。
- 可信标识鉴别程序
- 此功能指定如何验证标识的可信级别。此功能与身份断言配合使用。
- 登录映射
- 此功能指定到认证方法的登录配置绑定。此功能仅由 WebSphere Application Server V5.x 应用程序使用,不推荐使用此功能。
缺省绑定
在 WebSphere Application Server 中,已更改了缺省单元级别和缺省服务器级别绑定的配置。以前,您只能为单元配置一组缺省绑定,并可以选择为每台服务器配置一组缺省绑定。在 V7.0 和更高版本中,您可以配置一个或多个常规提供程序绑定以及一个或多个常规客户机绑定。但是,只能将一个常规提供程序绑定和一个常规客户机绑定指定为缺省绑定。
下图显示应用程序企业归档 (EAR) 文件和 ws-security.xml 文件之间的关系。
应用程序 EAR 1 和 EAR 2 在应用程序绑定文件中具有特定的绑定。但是,应用程序 EAR 3 和 EAR 4 在应用程序绑定文件中没有绑定;必须引用它以使用在 ws-security.xml 文件中定义的缺省绑定。由层次结构中最新的配置来解析此配置。例如,可能有三个分别在应用程序绑定文件、服务器级别和单元级别中定义的名为 mykeylocator 的密钥定位器。
如果在应用程序绑定中引用了 mykeylocator,那么将使用在该应用程序绑定中定义的密钥定位器。 数据的可视性作用域取决于定义数据的位置。如果数据定义在应用程序绑定中,那么其可视性作用域限于现有该 特定应用程序。如果数据定义在服务器级别上,那么可视性作用域是部署在该服务器上的所有应用程序。如果数据是在单元级别定义的,那么可视性作用域是部署在单元中服务器上的所有应用程序。通常,如果数据不必由其 他应用程序共享,那么在应用程序绑定级别上定义配置。
下图显示应用程序、服务器和单元(仅适用于 WebSphere Application Server Network Deployment)级别上绑定的关系。
常规绑定
常规绑定用作单元级或服务器级别缺省绑定。随 WebSphere Application Server 一起提供的常规绑定最初设置为缺省绑定,但您可以选择将其他绑定作为缺省值,也可以更改应该用作缺省值的绑定级别,例如,从单元级别绑定更改为服务器级别绑定。
在 V7.0 和更高版本中,存在两种类型的绑定:特定于应用程序的绑定和常规绑定。这两种类型的绑定都受 WS-Security 策略集支持。可以在多个应用程序之间以及对信任服务连接共享常规绑定。存在两种常规绑定:一种用于服务提供程序,一种用于服务客户机。可以为提供程序以及客户机定义多个常规绑定。