令牌使用者的通用安全性令牌登录模块
当收到 Web service 消息时,应用程序服务器将作为 Web Service 安全性认证过程的一部分来为令牌生成器调用通用安全令牌登录模块。
该登录模块会将令牌验证过程委派给使用 WS-Trust Validate 的 WS-Trust 服务。WS-Trust 安全性令牌服务处理请求并将 RequestSecurityTokenResponse 消息返回到登录模块,这可能仅包含新安全令牌或验证状态码。如果需要调用者令牌,那么 WS-Trust 安全性令牌服务中的返回令牌或原始的已接收令牌是调用者令牌。
如果信任服务调用返回无效状态码或错误,那么令牌验证过程失败,并且登录模块将生成 LoginException 异常。
- 入局或出局安全性令牌为不同类型时交换安全性令牌
- 将一个身份映射到另一个身份时交换安全性令牌
- 对授权检查进行评估以确保允许已认证的用户调用目标 Web service
Java™ 认证和授权服务 (JAAS) 登录配置名称为 wss.consume.issuedToken,回调处理程序类名为 com.ibm.websphere.wssecurity.callbackhandler.GenericIssuedTokenConsumeCallbackHandler。
受支持的令牌类型
- 安全性断言标记语言 (SAML) 2.0
- SAML 1.1
- 用户名
- 通行票
- Kerberos
- 轻量级第三方认证 (LTPA)
- Tivoli® Access Manager 凭证
- SAML 2.0
- SAML 1.1
- Username
- Kerberos
- LTPA v2
- LTPA

- 通过请求参与方而发送的已接收令牌是策略中指定的令牌。
- 此令牌只能用于认证。不能将此令牌用作保护令牌。
策略集
通用安全性令牌登录模块的实现可以支持系统缺省登录模块或定制登录模块所支持的任何认证令牌。通用安全性令牌登录模块不会在策略集中添加新的安全性令牌类型。例如,如果您计划使用通用安全性令牌登录模块来生成用户名令牌,那么您可以创建一个将用户名令牌指定为认证令牌的策略集。指定的安全性令牌服务支持的任何令牌类型都可以与通用安全性令牌登录模块一起使用。您可以实现定制登录模块以处理现有缺省系统登录模块不支持的任何新令牌类型。
绑定
- 使用通用登录模块。
- 使用现有系统缺省登录模块。
- 创建您自己的定制登录模块。
例如,如果您配置用户名令牌,那么可以使用 wss.consume.unt JAAS 登录配置并保持现有行为。但是,您可以配置 wss.consume.issuedToken JAAS 登录以使用通用登录模块。