OASIS 规范中支持的功能

应用程序服务器支持“结构化信息标准促进组织 (OASIS) Web Service 安全性(WS-Security)”规范。

在 WebSphere Application Server V6.1 Feature Pack for Web Services 和更新的版本中,对 OASIS 标准的支持已经更新为 Web Service 安全性(WS-Security) 规范和令牌的最新版本。Web Service 安全性 V1.1 提供了对签名的更好的安全性验证和加密 SOAP 头的标准方法,同时能够满足使用 Web Service 安全性 V1.1 中的功能部件的某些互操作性方案要求。
仅在 WebSphere Application Server V7.0 和更高版本中支持下列标准。

WS-SecurityPolicy 支持仅可用于 Web Services Metadata Exchange (WS-MetadataExchange) 方案,其中 WSDL 文件中嵌有声明。 有关更多信息,请阅读“WS-MetadataExchange 请求”主题。

2007 年,OASIS Web Service 安全性交换技术委员会 (WS-SX) 提出并通过了以下规范。WebSphere Application Server V7 和更高版本支持这些规范中的部分规范。

OASIS: Web Services Security SOAP Message Security 1.0 和 1.1

下表显示在 WebSphere Application Server V6 和更高版本中支持的 OASIS: Web Services Security: SOAP Message Security 1.0 和 1.1 规范的各个方面。

表 1. WebSphere Application Server 中支持的 OASIS SOAP Message Security 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
安全性头
  • @S11:actor(对于中介)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role(S12 是使用 SOAP V1.2 时,有关 http://www.w3.org/2003/05/soap-envelope 的名称空间前缀)
安全性令牌
  • 用户名令牌(用户名和密码)
  • 二进制安全性令牌(X.509 和轻量级第三方认证 (LTPA))
  • 定制令牌
    • 其他二进制安全性令牌
    • XML 令牌
      注: WebSphere Application Server 不提供实现,但是可以使用具有插件点的 XML 令牌。
令牌引用
  • 直接引用
  • 密钥标识
  • 密钥名
  • 嵌入式引用
签名 签名确认
签名算法
  • 摘要
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • 签名
    具有 SHA1 的 DSA
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此算法

    具有 SHA1 的 RSA
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • 规范
    规范 XML(具有注释)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    规范 XML(不具有注释)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    专用 XML 规范化(具有注释)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    专用 XML 规范化(不具有注释)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • 转换
    STR 转换
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用原始的 XPATH 变换。
    注: 当从 SIGNATURE 中的 ds:Reference 引用 SECURE_ENVELOPE 中不具有 ID 属性类型的某一元素时,必须使用 XPATH 过滤器 2.0 变换 http://www.w3.org/2002/06/xmldsig-filter2
    被包络的签名
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    注: 当从 SIGNATURE 中的 ds:Reference 引用 SECURE_ENVELOPE 中不具有 ID 属性类型的某一元素时,必须使用 XPATH 过滤器 2.0 变换 http://www.w3.org/2002/06/xmldsig-filter2
    解密转换
    http://www.w3.org/2002/07/decrypt#XML
仅用于 JAX-RPC 已签署签名的部分
  • WebSphere Application Server 关键字:
    • body,它签署 SOAP 消息主体
    • timestamp,它签署所有时间戳记
    • securitytoken,它签署所有安全性令牌
    • dsigkey,它签署签名密钥
    • enckey,它签署加密密钥
    • messageid,它签署 WS-Addressing 中的 wsa :MessageID 元素。
    • to,它签署 WS-Addressing 中的 wsa:To 元素
    • action,它签署 WS-Addressing 中的 wsa:Action 元素
    • relatesto,它签署 WS-Addressing 中的 wsa:RelatesTo 元素

      wsa 是 http://schemas.xmlsoap.org/ws/2004/08/addressing 的名称空间前缀

    • wscontext,它指定 SOAP 头的 WS-Context 头。
    • wsafrom,它指定 SOAP 头中的 <wsa:From> WS-Addressing From 元素。
    • wsareplyto,它指定 SOAP 头中的 <wsa:ReplyTo> WS-Addressing ReplyTo 元素。
    • wsafaultto,它指定 SOAP 头中的 <wsa:FaultTo> WS-Addressing FaultTo 元素。
    • wsaall,它指定 SOAP 头中的所有 WS-Addressing 元素。
  • 用于选择 SOAP 消息中的 XML 元素的 XPath 表达式。有关更多信息,请参阅 http://www.w3.org/TR/1999/REC-xpath-19991116
仅用于 JAX-WS 签名消息部分
  • Body(它签署 SOAP 消息主体)
  • Header(它签署主要 SOAP 头内的一个或多个 SOAP 头)
  • 用于选择 SOAP 消息中的 XML 元素的 XPath 表达式。
    • 有关更多信息,请参阅 http://www.w3.org/TR/1999/REC-xpath-19991116。
加密 EncryptedHeader 元素
加密算法
要点: 您的产地国对加密软件的进口、拥有、使用或再次出口到其他国家可能有一些限制。下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。
  • 数据加密
    • CBC 中的三重 DES:http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • CBC 中的 AES128:http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • CBC 中的 AES192:http://www.w3.org/2001/04/xmlenc#aes192-cbc

      此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置:消息部件中的密钥加密算法描述。

      如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用 192 位数据加密算法。

    • CBC 中的 AES256:http://www.w3.org/2001/04/xmlenc#aes256-cbc

      此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置:消息部件中的密钥加密算法描述。

  • 密钥加密
    • 密钥传输(公用密钥密码术)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p
        注:
        • 当通过软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。通过 SDK V1.5 运行时,受支持密钥传输算法列表将包含此算法。
        • 使用符合联邦信息处理标准 (FIPS) 的 Java™ 密码术引擎不支持此传输算法。
      • RSA V1.5:http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • 对称密钥合并(专用密钥密码术)
      • 三重 DES 密钥合并:http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • AES 密钥合并 (aes128):http://www.w3.org/2001/04/xmlenc#kw-aes128
      • AES 密钥合并 (aes192):http://www.w3.org/2001/04/xmlenc#kw-aes192

        此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置:消息部件中的密钥加密算法描述。

        如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用 192 位数据加密算法。

      • AES 密码合并 (aes256):http://www.w3.org/2001/04/xmlenc#kw-aes256

        此算法需要不受限制的 JCE 策略文件。有关更多信息,请参阅加密信息配置设置:消息部件中的密钥加密算法描述。

  • Manifests-xenc 是 http://www.w3.org/TR/xmlenc-core 的名称空间前缀
    • xenc:ReferenceList
    • xenc:EncryptedKey

高级加密标准 (AES) 能够比三重 DES(数据加密标准)提供更强大和性能更高的对称密钥加密。因此,建议您将 AES 用于对称密钥加密(如果可能)。

仅用于 JAX-RPC 的加密消息部分
  • WebSphere Application Server 关键字
    • bodycontent,用来对 SOAP 主体内容进行加密
    • usernametoken,用来对用户名令牌进行加密
    • digestvalue,用来对数字签名的摘要值进行加密
    • signature,用来对整个数字签名进行加密
    • wscontextcontent,它对 SOAP 头的 WS-Context 头中的内容进行加密。
  • 用来选择 SOAP 消息中的 XML 元素的 XPath 表达式
    • XML 元素
    • XML 元素内容
仅用于 JAX-WS 的加密消息部分
  • Body(它对 SOAP 消息主体内容进行加密)
  • Header(它对主要 SOAP 头内的一个或多个 SOAP 头进行加密,并生成 EncryptedHeader 元素)
  • 用于选择 SOAP 消息中的 XML 元素的 XPath 表达式
    • 有关更多信息,请参阅 http://www.w3.org/TR/1999/REC-xpath-19991116。
时间戳记
  • 在 Web Service 安全性头中
  • 扩展 WebSphere Application Server 以允许您将时间戳记插入到其他元素中,以便可以确定那些元素的存在时间。
错误处理 SOAP 故障
  • 具有故障代码的新的 failure SOAP 故障
  • 增加了消息已到期文本。

OASIS:Web Service 安全性 UsernameToken 概要文件 1.0

下表显示在 WebSphere Application Server 中支持的 OASIS:Web Service 安全性 Username 令牌概要文件 1.0 规范的各个方面。

表 2. WebSphere Application Server 中支持的 OASIS Username Token Profile V1.0 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
密码类型 文本
令牌引用 直接引用

OASIS: Web Services Security UsernameToken Profile 1.1

下表显示在 WebSphere Application Server 中支持的 OASIS: Web Services Security Username Token Profile 1.1 规范的各个方面。未列示先前 Web Services Security UsernameToken Profile 1.0 支持的项,但它们仍然受支持,除非另有声明。

表 3. WebSphere Application Server 中支持的 OASIS Username Token Profile V1.1 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
密码类型 文本
令牌引用 直接引用

OASIS: Web Services Security X.509 Certificate Token Profile 1.0

下表显示在 WebSphere Application Server V6 和更高版本中支持的 OASIS: Web Services Security X.509 Certificate Token Profile 规范的各个方面。

表 4. WebSphere Application Server 中支持的 OASIS X.509 Certificate Token V1.0 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型
  • X.509 V3:单个证书

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 V3:不具有证书撤销列表 (CRL) 的 X509PKIPathv1

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 V3:具有或不具有 CRL 的 PKCS7。
令牌引用
  • 密钥标识 - 主体集密钥标识
  • 直接引用
  • 定制引用 - 发布者名称和序列号

OASIS: Web Services Security X.509 Certificate Token Profile 1.1

下表显示在 WebSphere Application Server 中支持的 OASIS: Web Services Security X.509 Certificate Token Profile 1.1 规范的各个方面。未列示先前 Web Services Security X.509 Certificate Token Profile 1.0 支持的项,但它们仍然受支持,除非另有声明。

表 5. WebSphere Application Server 中支持的 OASIS X.509 Certificate Token V1.1 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型 X.509 V1:单个证书
令牌引用 密钥标识 - 主体集密钥标识
  • 只能引用 X.509v3 证书
  • 可以使用 <wsse:KeyIdentifier> 元素的 http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 属性来指定所指定证书的指纹。

OASIS: Web Services Security Kerberos Token Profile 1.1

下表说明了 WebSphere Application Server 中支持的 OASIS: Web Services Security Kerberos Token Profile 1.1 规范的各个方面。

表 6. WebSphere Application Server 中支持的 OASIS Kerberos Token Profile 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型
  • GSS_API Kerberos v5 令牌

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ

  • GSS_API Kerberos v5 token per RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510

  • GSS_API Kerberos v5 token per RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120

  • Kerberos v5 令牌

    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ

  • Kerberos v5 token per RFC1510

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510

  • Kerberos v5 token per RFC4120

    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412

令牌引用
  • 安全性令牌引用
  • 密钥标识,它在消耗初始 Kerberos V5 令牌之后使用
  • 基于 Kerberos 密钥的派生密钥令牌

OASIS: Web Services Security WS-Secure Conversation Draft 和 V1.3

下表显示在 WebSphere Application Server V6.1 Feature Pack for Web Services 和更高版本中支持的 OASIS: WS-SecureConversation 规范的各个方面。WebSphere Application Server V7.0 和更高版本中提供规范 V1.3 的支持。

表 7. WebSphere Application Server 中支持的 OASIS SecureConversation 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型
  • 安全上下文令牌草稿版本:http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • 安全上下文令牌 V1.3:http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
令牌引用 直接引用
安全上下文的建立 WebSphere Application Server 中嵌入的安全性令牌服务所创建的安全上下文令牌。
更新上下文 令牌即将到期时的自动更新。
取消上下文 显式的取消请求支持。
派生的密钥 以下信息用于从安全上下文中派生使用共享密钥的密钥:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
错误处理 SOAP 故障包括:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS: Web Services Security WS-Trust V1.0 草稿和 V1.3

下表显示在 WebSphere Application Server V6.1 Feature Pack for Web Services 和更高版本中支持的 OASIS: Web Services Security: WS-Trust V1.0 草稿和 V1.3 规范的各个方面。

表 8. WebSphere Application Server 中支持的 OASIS Trust V1.0 和 V1.3 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
名称空间 http://schemas.xmlsoap.org/ws/2005/02/trust
请求头 /wsa:Action
有效选项包括:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
请求元素和属性

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • 有效选项包括:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • 有效选项包括:
    • 有关 http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
响应头 /wsa:Action
有效选项包括:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
响应元素和属性

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • 有效响应包括:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

错误处理

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

表 9. WebSphere Application Server 中支持的 OASIS Trust V1.3 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
名称空间 http://docs.oasis-open.org/ws-sx/ws-trust/200512
请求头 /wsa:Action
有效选项包括:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
请求元素和属性

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • 有效选项包括:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • 有效选项包括:
    • 有关 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
响应头 /wsa:Action
有效选项包括:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
响应元素和属性

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • 有效响应包括:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason

错误处理

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

WebSphere Application Server 不支持的功能

下表列出了在 OASIS 规范、OASIS 草稿和其他建议中受支持,但是不受 WebSphere Application Server V6 和更高版本支持的功能:
  • Web Service 安全性:带附件的 SOAP 消息 (SwA) 概要文件 1.0
    注: 当使用 JAX-WS 编程模块时,确保 SOAP 消息传输优化机制 (MTOM) 安全的附件受到支持。有关更多信息,请参阅“启用 JAX-WS Web Service 的 MTOM”主题。
  • XrML 令牌概要文件
  • XML 包络数字签名
  • XML 包络数字加密
  • WebSphere Application Server 不支持如下 WS-SecureConversation 功能:
    • 不支持用于建立安全上下文的两种方法:1) 由通信方之一创建且通过消息传播的安全上下文令牌和 2) 通过导航或交换创建的安全上下文令牌。
    • SCT 传播
    • 修订安全上下文
  • 不支持以下用于数字签名的变换算法:
    • XSLT:http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP 消息规范化

      有关移除了 mustUnderstand=false 的空头或头项之类的信息,请参阅 SOAP Version 1.2 Message Normalization

    • 解密转换
  • 不支持以下用于加密的密钥协议算法:
  • 不支持以下用于加密的规范算法,其在 XML 加密规范中是可选的:
    • 具有或不具有注释的规范 XML
    • 具有或不具有注释的专用 XML 规范化
  • 不支持 DSA 数字签名。
  • 不支持预先同意的对称密钥数据加密。
  • 不支持审计数字签名的不可抵赖性。
  • 在 Username Token 概要文件规范的两个版本中,都不支持摘要密码类型。
  • 在 Username Token V1.1 概要文件规范中,不支持基于密码派生密钥。

WS-Trust V1.0 草稿和 V1.3 所不支持的功能

下表显示 WebSphere Application Server V6.1 Feature Pack for Web Services 和更高版本中不受支持的 OASIS: Web Services Security: WS-Trust V1.0 草稿和 V1.3 规范的各个方面。

表 10. WebSphere Application Server 中不受支持的 OASIS Trust V1.0 和 V1.3 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面不受支持。
不受支持的主题 不受支持的特定方面
元素和属性

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

不受支持的请求选项:
  • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey 和 http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
响应元素和属性

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse

表 11. WebSphere Application Server 中不受支持的 OASIS Trust V1.3 标准的各个方面. 使用下表来确定 OASIS 标准的哪些方面不受支持。
不受支持的主题 不受支持的特定方面
元素和属性

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

不受支持的请求选项:
  • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey 和 http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey 和 http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
响应头

/wsa:Action

不受支持的响应:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_supportfunction
文件名:cwbs_supportfunction.html