Web Service 的 Kerberos 消息保护
消息级别的安全性基于结构化信息标准促进组织(OASIS) 的“Web Service 安全性 Kerberos 令牌概要文件 V1.1”规范。 通过此主题来全面了解如何用 Kerberos 令牌对 Web Service 实施消息保护。
消息保护
由于 OASIS Web Service Kerberos 令牌概要文件的实施,应用程序服务器可以与其他的 Web Service 技术进行互操作。此规范定义了用 Kerberos 令牌确保 SOAP 消息安全的标准。然而,相互认证将不通过令牌概要文件进行定义。“OASIS Web Service SOAP 消息安全性”规范描述了如何通过使用和引用 Kerberos 令牌并进行签名和加密来确保 SOAP 消息的安全。特别是,OASIS 规范定义了将 Kerberos 令牌(作为合并的或未合并的 AP_REQ包)编码并附加到 SOAP 消息的方式。 在 OASIS Kerberos 令牌概要文件中描述的令牌限用于 AP_REQ 包,该包由一个服务凭单和一个鉴别符组成。 AP_REQ 包可从密钥分发中心 (KDC) 获取,并用作第三方认证服务。
如“OASIS Web Service 安全性 Kerberos 令牌概要文件 1.1”中所定义的那样,Kerberos 令牌存在多种格式。@ValueType 属性用于指定令牌格式。您必须对下列元素的 <@ValueType> 属性之一进行指定:
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ4120
- http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
结果生成的 AP_REQ 令牌可以是加帧的(打包的)GSS-API 令牌或原始的(未打包的)令牌。该令牌必须为基本 64 位编码。