JAX-RPC 的回调处理程序配置设置
使用此页面来指定如何获取插入在 SOAP 消息中 JAX-RPC 的 Web Service 安全性头中的安全性令牌。令牌获取是可插入的框架,它利用 Java™ 认证和授权服务 (JAAS) javax.security.auth.callback.CallbackHandler 接口来获取安全性令牌。

- 生成器
- 当用于加密生成器时,为生成器提供的别名用于检索用来加密消息的公用密钥。不需要密码。在回调处理程序上输入的与加密生成器关联的别名必须在不提供密码的情况下可访问。这意味着在密钥库中不能具有与该别名相关联的专用密钥信息。当用于签名生成器时,为生成器提供的别名用于检索用来对消息签名的专用密钥。需要密码。
- 单击 。
- 在“JAX-RPC 缺省生成器绑定”下,单击 。
- 在“其他属性”下,单击回调处理程序。
- 单击 。
- 在“安全性”下,单击 JAX-WS 和 JAX-RPC 安全性运行时。
混合版本环境: 在具有使用 Websphere Application Server V6.1 或更低版本的服务器的混合节点单元中,单击 Web Service:Web Services Security 的缺省绑定。mixv
- 在“JAX-RPC 缺省生成器绑定”下,单击 。
- 在“其他属性”下,单击回调处理程序。
- 单击 。
- 在“模块”下,单击管理模块 URI_name。
- 在“Web Service 安全性属性”下,您可以访问以下绑定的回调处理程序信息:
- 对于“请求生成者(发送方)绑定”,单击 Web Service:客户机安全性绑定。在“请求生成者(发送方)绑定”下,单击编辑定制。在“其他属性”下,单击令牌生成者。单击新建以创建新的令牌生成者配置,或者单击现有配置的名称以修改其设置。在“其他属性”下,单击回调处理程序。
- 对于“响应生成者(发送方)绑定”,单击 Web Service:服务器安全性绑定。在“响应生成者(发送方)绑定”下,单击编辑定制。在“其他属性”下,单击令牌生成者。单击新建以创建新的令牌生成者配置,或者单击现有配置的名称以修改其设置。在“其他属性”下,单击回调处理程序。
回调处理程序类名
指定用于插入安全性令牌框架的回调处理程序实现类的名称。
MyCallbackHandler(String username, char[] password,
java.util.Map properties)
- username
- 指定传递到配置中的用户名。
- password
- 指定传递到配置中的密码。
- properties
- 指定传递到配置中的其他配置属性。
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- 此回调处理程序使用登录提示收集用户名和密码信息。但是,如果在此面板上指定了用户名和密码,就不会显示提示,应用程序服务器将该用户名和密码返回给响应生成者。仅将此实现用于 Java Platform, Enterprise Edition (Java EE) 应用程序客户机。
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- 如果在此面板上指定了用户名和密码,那么此回调处理程序不发出提示并返回用户名和密码。当 Web Service 作为客户机时可以使用此回调处理程序。
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- 此回调处理程序使用标准提示符收集用户名和密码。但是,如果在此面板上指定了用户名和密码,应用程序服务器就不会发出提示,而是将该用户名和密码返回到响应生成者。仅将此实现用于 Java Platform, Enterprise Edition (Java EE) 应用程序客户机。
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
- 此回调处理程序使用标准提示符收集用户名和密码。但是,如果在此面板上指定了用户名和密码,应用程序服务器就不会发出提示,而是将该用户名和密码返回到响应生成者。仅将此实现用于 Java Platform, Enterprise Edition (Java EE) 应用程序客户机。
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- 此回调处理程序用于从“运行方式调用主体集”获取轻量级第三方认证 (LTPA) 安全性令牌。此令牌作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。但是,如果在此面板上指定了用户名和密码,应用程序服务器就会认证该用户名和密码以获取 LTPA 安全性令牌,而不是从运行方式主体集获取它。仅当 Web Service 作为应用程序服务器上的客户机时,才使用此回调处理程序。建议不要在 Java EE 应用程序客户机上使用此回调处理程序。
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- 此回调处理程序用于创建 X.509 证书,此证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。密钥库和密钥定义对于此回调处理程序来说是必需的。
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- 此回调处理程序用于创建以 PKCS#7 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。必须在证书集合库中指定证书撤销列表 (CRL)。CRL 使用 PKCS#7 格式的 X.509 证书进行编码。
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- 此回调处理程序用于创建以 PkiPath 格式编码的 X.509 证书。该证书作为二进制安全性令牌插入 SOAP 消息中的 Web Service 安全性头中。此回调处理程序需要密钥库。此回调处理程序不支持 CRL;因此,不需要或不使用证书集合库。
回调处理程序实现获取必需的安全性令牌并将它传递到令牌生成者。令牌生成者将安全性令牌插入在 SOAP 消息的 Web Service 安全性头中。令牌生成者也是可插入安全性令牌框架的插入点。服务提供程序可以提供其自己的实现,但是该实现必须使用 com.ibm.websphere.wssecurity.wssapi.token.SecurityToken 接口。Java 认证和授权服务 (JAAS) 登录模块实现分别用来在生成器端创建安全性令牌和在使用者端验证(认证)安全性令牌。
使用身份断言
如果在 IBM® 扩展部署描述符中定义了身份断言,请选择此选项。
此选项表明仅需要初始发送方的标识,并且此标识将插入 SOAP 消息中的 Web Service 安全性头中。例如,应用程序服务器仅发送 Username TokenGenerator 的原始调用者的用户名。对于 X.509 令牌生成者,应用程序服务器仅发送原始签署者证书。
使用运行方式标识
如果在 IBM 扩展部署描述符中定义了身份断言,并且要在下游调用的身份断言中使用运行方式标识而不是初始调用者标识,请选择此选项。
仅当将 Username TokenGenerator 配置为响应生成者时此选项有效。
基本认证用户标识
指定传递给回调处理程序实现的构造函数的用户名。
- com.ibm.wsspi.wssecurity.auth.callback.GUIPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.LTPATokenCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.NonPromptCallbackHandler
- com.ibm.wsspi.wssecurity.auth.callback.StdinPromptCallbackHandler
回调处理程序类名字段描述中详细描述了这些实现。
基本认证密码
指定传递给回调处理程序的构造函数的密码。
- com.ibm.wsspi.wssecurity.auth.callback.PKCS7CallbackHandler
- 该密钥库用于构建具有证书路径的 X.509 证书。
- com.ibm.wsspi.wssecurity.auth.callback.PkiPathCallbackHandler
- 该密钥库用于构建具有证书路径的 X.509 证书。
- com.ibm.wsspi.wssecurity.auth.callback.X509CallbackHandler
- 此密钥库用于检索 X.509 证书。
密钥库
如果此配置不需要密钥库,请选择无。
选择预定义密钥库以使用密钥库配置名称来选择预定义密钥库。
选择用户定义的密钥库以使用用户定义的密钥库。
需要指定以下信息:
密钥库配置名称
指定安全通信的密钥库设置中定义的密钥库配置的名称。
密钥库密码
指定用于访问密钥库文件的密码。
密钥库路径
指定密钥库文件的位置。
因为此变量展开为机器上的产品路径,所以应在路径名中使用 ${USER_INSTALL_ROOT}。要更改此变量使用的路径,请单击USER_INSTALL_ROOT。
并单击密钥库类型
指定密钥库文件格式的类型
- JKS
- 如果密钥库使用 Java 密钥库 (JKS) 格式,请使用此选项。
- JCEKS
- 如果在软件开发包 (SDK)中配置了 Java 密码术扩展,请使用此选项。缺省 IBM JCE 是在应用程序服务器中配置的。此选项通过使用三重 DES 加密为存储的专用密钥提供更强的保护。
JCERACFKS
如果证书存储在 SAF 密钥环中,请使用 JCERACFKS(仅限于 z/OS®)。
- PKCS11KS (PKCS11)
- 如果您的密钥库文件使用 PKCS#11 文件格式,请使用此选项。使用此格式的密钥库文件可能包含加密硬件上的 Rivest Shamir Adleman (RSA) 密钥,或者包含使用加密硬件的加密密钥来确保安全。
- PKCS12KS (PKCS12)
- 如果密钥库文件使用 PKCS#12 文件格式,请使用此选项。