Web Service 安全性令牌传播

Web Service 安全性能够在 SOAP 消息的安全性头中发送安全性令牌。这些安全性令牌可以用来对各个消息部件进行签名、验证、加密或解密。还可以将安全性令牌作为独立的安全性令牌来发送,并且可以将它们设置为请求使用者上的调用者。Web Service 安全性令牌传播在 SOAP 消息的安全性头内的 wsse:BinarySecurityToken 元素中发送独立的安全性令牌。

Web Service 安全性具有下列内置令牌类型:
  • 用户名令牌
  • X.509 令牌
  • 轻量级第三方认证 (LTPA) 令牌

您可以配置 Web Service 安全性以使用定制安全性令牌。Web Service 安全性与“安全性”属性传播功能使用相同的传播令牌格式。Web Service 安全性可以传播所有的内置安全性令牌类型,并且可以传播被安全性属性传播功能序列化的一样长的定制令牌类型。

当您在令牌生成者或令牌使用者中配置传播令牌时,使用以下令牌类型统一资源标识 (URI) 和本地名称的值:
  • 令牌类型 URI:http://www.ibm.com/websphere/appserver/tokentype
  • 令牌类型局部名: LTPA_PROPAGATION

当生成传播令牌时,Web Service 安全性集合了当前线程的 RunAs 主体集中的所有可序列化的安全性令牌,并将 wsse:BinarySecurityToken令牌中的安全性令牌进行序列化。要具有 RunAs 主体集和当前线程上所必须的凭证,JAAS 登录必须在传播令牌可以创建之前发生在当前线程上。

正常情况下,对于服务供应商,通过包含 WS-Security 配置中的入站令牌的已定义的调用者部件完成 Java 认证和授权服务 (JAAS) 登录。对于 Web Service 客户机,通过配置 HTTP 基本认证来完成 JAAS 登录。

传播令牌有两种常见使用方法:
  • 来自固定的服务内的客户机将可序列化的安全性令牌和凭证从当前的 RunAs 主体集传播到下流服务器中。
  • 在具有 HTTP 基本认证的 Web 容器内固定的以服务器为基础的客户机可以使用传播令牌。

    对于以服务器为基础的客户机,当只需要标识并且该标识不是凭证的完整设置时,传播令牌的开销是不必要的。但是,如果在 Web 容器调用该客户机应用程序后,对该主体集进行了修正,那么该客户机应用程序可能适合使用传播令牌。如果只要求标识,那么正常的 LTPA 令牌可能会适用。您可以从 JAAS 登录所创建的 RunAs 主体集中生成此 LTPA 令牌。

要点: 对于 LTPA 传播令牌的接收方合理利用被发送到传播令牌中的凭证,您必须在接收方的 WS-Security 配置中为该令牌配置和定义调用者部件。

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_securitytokenpropagationwbs
文件名:cwbs_securitytokenpropagationwbs.html