对 Web Service 操作进行密码保护

通过使用与 Web Service 操作相匹配的方法创建企业 Bean,然后对该企业 Bean 应用 WebSphere® Application Server 认证机制对 Web Service 中的各个操作(方法)进行密码保护,以便在调用 Web Service 操作之前将调用 EJB 方法以进行授权。

开始之前

除了按照本主题中的描述对 Web Service 操作进行密码保护以外,还必须将服务配置为入站服务或出站服务,并选择选项以启用操作级安全性,如修改现有的入站服务配置修改现有的出站服务配置所述。

为了让部署到服务集成总线的应用程序使用操作级安全性,必须将应用程序服务器类装入器策略设置为“单一”,如配置服务器的类装入器中所述。

关于此任务

对于操作级权限,您创建一个企业 Bean,该企业 Bean 具有与 Web Service 操作相匹配的方法。这些 EJB 方法不执行任何操作,它们仅仅是用于应用安全性的实体。接着,您将现有的 WebSphere Application Server 认证机制应用于该企业 Bean。在调用任何 Web Service 操作之前,将对 EJB 方法进行调用。如果授予了权限,那么将调用 Web Service。

通过将目标 Web Service 打包到一个 EAR 文件(your_webservice.ear)中并接着对该 EAR 文件应用基于角色的授权,对该目标 Web Service 进行保护。操作级安全性:基于角色的授权笼统地对此过程作了说明。接着,your_webservice.ear 文件被导入到 sibwsauthbean.ear 文件中,并且将对 sibwsauthbean.ear 文件进行修改以设置角色以及将它们指定给方法。然后,在 WebSphere Application Server 中部署经过修改的 sibwsauthbean.ear 文件,并且将用户指定给先前已定义的角色。

sibwsauthbean.ear 文件的安装版本在 app_server_root/installableApps 目录中,其中 app_server_rootWebSphere Application Server 的安装根目录

对于所保护的每个 Web Service,sibwsauthbean.ear 文件都包含一个 EAR 文件。对于您通过操作级权限保护的第一个 Web Service,您复制 sibwsauthbean.ear 文件的安装版本并将副本存储在应用程序服务器文件系统外部。对于所保护的每个后续 Web Service,您对 sibwsauthbean.ear 文件的同一个副本进行进一步的修改。

[z/OS]要启用操作级权限,请使用 sibwsAuthGen 命令以及组合件工具。只能在 Windows 系统上使用这些工具,因此, 必须(以二进制方式)将此任务所需的所有文件复制至 Windows 系统,然后在 Windows 系统上创建并修改 EAR 文件, 然后(以二进制方式)将经过修改的 sibwsauthbean.ear 文件复制回到 z/OS® 系统上。

要对 Web Service 操作进行密码保护,请对要保护的每个 Web Service 完成以下步骤:

过程

  1. [IBM i][AIX Solaris HP-UX Linux Windows]对于所保护的第一个 Web Service,请将 app_server_root/installableApps/SIBWSauthbean.ear 文件复制到应用程序服务器文件系统外部的便捷位置。
  2. [z/OS]对于所保护的第一个 Web Service,完成以下步骤:
    1. app_server_root/installableApps/SIBWSauthbean.ear 文件复制到应用程序服务器文件系统外部的便捷位置。
    2. 在 Windows 系统上,安装组合件工具
    3. 在 Windows 系统上,创建一个目录并指定您自己选择的名称(例如 /your_dir),并在该目录中创建一个名为 lib 的子目录。
    4. 使用文件传输协议 (FTP) 来(以二进制方式)将下列文件从 z/OS 下的目标应用程序服务器复制到 Windows 系统:
      将下列文件复制到新目录(例如 /your_dir)中:
      • app_server_root/util/SIBWSAuthGen.bat
      将下列文件复制到新的 lib 子目录(例如 /your_dir/lib)中:
      • app_server_root/lib/commons-logging-api.jar
      • app_server_root/lib/qname.jar
      • app_server_root/lib/wsdl4j.jar
      • app_server_root/lib/wsif.jar
      • app_server_root/lib/xerces.jar
  3. [z/OS]使用文件传输协议 (FTP) 来(以二进制方式)将您自己的 sibwsauthbean.ear 文件副本从 z/OS 系统复制到 Windows 系统上的目录(例如 /your_dir)中。
  4. 要创建 your_webservice.ear 文件,请完成以下步骤:
    1. [IBM i][AIX Solaris HP-UX Linux Windows]打开命令提示符。
    2. [IBM i][AIX Solaris HP-UX Linux Windows]切换到 app_server_root/util 目录。
    3. [z/OS]在 Windows 系统上打开命令提示符。
    4. [z/OS]切换到您的目录(例如 your_dir)。
    5. [z/OS]输入下列其中一个命令以将 WAS_HOME 环境变量设置为指向新目录:
      set WAS_HOME=path_to_new_directory
      set WAS_HOME=.
      其中 path_to_new_directory 是新目录的完整路径。
    6. [z/OS]设置指向组合件工具附带提供的 Java 虚拟机的路径。
    7. [z/OS]输入以下命令来更新类路径:
      set classpath=lib\commons-logging-api.jar;lib\j2ee.jar;lib\qname.jar;lib\wsdl4j.jar;lib\wsif.jar;lib\xerces.jar;
    8. 输入以下命令:
      sibwsAuthGen location your_webservice_name
      其中
      • location 是服务的 WSDL 位置。对于出站服务来说,需要外部 Web 地址处的目标 WSDL 文件。对于入站服务来说,需要该服务的端点侦听器端点上的模板 WSDL 文件。
      • your_webservice_name 是所保护的服务的名称,此名称是在 WSDL 文件的位置字段中定义的。此名称区分大小写。
      注: 要获取给定入站服务 WSDL 文件的位置详细信息,请将该 WSDL 文件发布到一个压缩文件(如修改现有的入站服务配置所述),然后在导出的 WSDL 文件中查找位置。此外, 可以使用以下标准 Web Service 查询来检索入站服务 WSDL 文件:
      http://host_name:port_number/epl_context_root/soaphttpengine/bus_name/inbound_service_name/inbound_port_name?wsdl
      其中 host_nameport_number 是此应用程序服务器的主机名和端口号,epl_context_root 是端点侦听器应用程序的上下文根,如修改现有的端点侦听器配置所述。

      使用 sibwsAuthGen 命令的示例:

      (出站服务):
      sibwsAuthGen http://www.somecompany.com/targetservice/wsdl/targetservice.wsdl targetServiceName
      (入站服务):
      sibwsAuthGen http://your.server.name:9080/wsgwsoaphttp1/soaphttpengine/yourbus/yourservice/inboundport1?wsdl yourservicename
    将在当前目录中创建 your_webservice.ear 文件。还有一个临时目录 current_directory/ejb,您可以将此目录删除。
  5. 要完成指定角色和保护方法的操作,请完成使用组合件工具对 Web Service 操作进行密码保护主题中所提供的步骤。
  6. 要安装 sibwsauthbean.ear 文件的经过修改的副本,请完成以下步骤:
    1. [IBM i][AIX Solaris HP-UX Linux Windows]检查经过修改的 sibwsauthbean.ear 文件是否已存储在应用程序服务器文件系统外部您在步骤 1 中选择的便捷位置中。将 sibwsauthbean.ear 文件保留在此位置中以供将来复用和进行进一步的修改。
    2. [z/OS]使用 FTP 来(以二进制方式)将经过修改的 sibwsauthbean.ear 文件复制回到 z/OS 系统上您在步骤 1 中选择的便捷位置中。将经过修改的 sibwsauthbean.ear 文件存储在此位置中以供将来复用以及进行进一步的修改。
    3. 启动 WebSphere Application Server 管理控制台。
    4. 在导航窗格中,单击应用程序 -> 新建应用程序
    5. 使用新建企业应用程序选项安装已修改的 sibwsauthbean.ear 文件的副本。当得到提示时,选择要对角色指定的用户或组。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjw_security_wslevel
文件名:tjw_security_wslevel.html