使用 WSS API 来配置生成器签名信息以保护消息完整性
可以配置签名信息以保护请求(客户端)生成器绑定的消息完整性。签名信息包括签名和签署部件。为了保持消息的完整性,通常会应用数字签名。
开始之前
除了使用数字签名及配置签名信息以外,还将执行下列任务:
- 验证签名信息。
- 合并加密。
- 连接安全性令牌。
关于此任务
完整性是指数字签名,而机密性是指加密。通过对 SOAP 消息应用数字签名可提供完整性。要配置签名信息以保护消息完整性,必须首先对 SOAP 消息的签名进行数字签署,然后对其进行验证。保证完整性可降低数据在网络中传输时被修改的风险。
另外,通过使用签名算法方法对主体、时间戳记和 WS-Addressing 头进行数字签署来提供消息完整性。WSS API 指定要用于签署证书的算法。签名算法指定签名方法的统一资源标识 (URI)。WebSphere® Application Server 支持多个预配置的请求签署算法方法。
可以使用下列接口来配置 Web Service 安全性及保护 SOAP 消息完整性:
- 使用管理控制台对签名信息配置策略集。
- 使用 Web Service 安全性 API (WSS API) 来配置 SOAP 消息上下文(仅适用于客户机)。
使用 WSS API 执行下列签署任务以配置签名信息及保护生成器绑定的消息完整性。
过程
- 使用 WSSSignature API 配置签名信息。 使用 WSSSignature API 配置生成器绑定的签名信息。签名信息用于签署消息的部件,其中包括 SOAP 主体、时间戳记和 WS-Addressing 头。可对相同的消息部件(如 SOAP 主体)应用签署和加密。
- 使用 WSSSignPart API 添加或更改签署部件。
- 使用 WSSSignature 或 WSSSignPart API 配置客户机用于请求签署方法。 要配置客户机进行请求签署,请选择签署方法。请求签署方法包括签名、规范、摘要和变换方法。使用 WSSSignature API 来配置签名和规范方法。使用 WSSSignPart API 来配置摘要方法和变换方法。