使用 WSS API 配置 Web Service 安全性
Web Service 安全性应用程序编程接口 (WSS API) 提供对保护 SOAP 消息的支持。
开始之前
Web Service 安全性支持以下编程模型:
- 用于通过 Web Service 安全性 (WSS API) 保护 SOAP 消息的编程 API。
API 编程模型已重新设计。新设计是一个基于接口的编程模型并且基于 Web Services Security V1.1 标准,但此设计还支持用于保护 SOAP 消息的 Web Services Security V1.0。WSS API 编程模型实现是一个简化的版本,它基于 JSR-183 的早期建议草案,该建议是用于对 Web Service 安全性的 Java™ API 绑定进行定义的 JSR。由于应用程序代码面向接口编程,因此在设计上,使用开放式源代码实现进行编程的任何应用程序代码应进行很小的改动或根本不需要改动就能够在WebSphere® Application Server 上运行。
- 服务提供程序的服务编程接口 (SPI)
类似地,Web Service 安全性运行时令牌生成和令牌使用 SPI 已重新设计,以便可以对 WSS API 和 SPI 使用同一个安全性令牌接口和 JAAS 登录模块实现。服务提供程序的 WSS SPI 扩展了安全性令牌类型并提供用于签署、签名验证、加密和解密的密钥和派生密钥。
关于此任务
- 用于签署的安全性令牌类型和派生密钥
- 签名和验证
- 加密和解密
以下图表演示如何使用简化的 WSS API 以通过 XML 数字签名和 XML 加密来保护 SOAP 消息。
Web service 的配置模型也已从部署描述符模型重新设计为策略集模型。配置编程模型基于配置策略集,在配置策略集过程中使用安全策略来指定安全性约束。
策略集配置提供的功能与 Web Service 安全性运行时的 WSS API 所支持的功能相同。但是,使用策略集定义的安全策略的优先级要高于 WSS API 的优先级。在应用程序中同时使用 WSS API 和策略集时,缺省行为适用于来自要执行的策略集和要忽略的 WSS API 的安全策略。要在应用程序中使用 WSS API,必须确保此应用程序或应用程序资源未连接任何策略集,或者必须确保连接策略集中没有任何安全策略。
使用通过管理控制台来配置的策略集,或者通过对配置使用 WSS API,可以支持 Web Service 安全性。
如果使用的是 WSS API,请完成下列高级步骤来保护 SOAP 消息:
过程
结果
下一步做什么
Web Service 安全性运行时令牌生成和令牌使用服务编程接口 (SPI) 已重新设计,以便在 WSS API 和 SPI 中可使用相同的安全性令牌接口和 JAAS 登录模块实现。请参阅 SPI 信息,以了解详细描述。