使用 WSS API 来验证使用者签名信息以保护消息完整性
可以验证签名信息以保护响应(客户端)使用者绑定的消息完整性。签名信息包括生成器端的签名和签署部件以及使用者端的签名验证和验证部件。为了保持消息的完整性,通常会应用数字签名。
开始之前
关于此任务
完整性是指数字签名,而机密性是指加密。通过对 SOAP 消息应用数字签名可提供完整性。要配置签名信息以保护消息完整性,必须首先对 SOAP 消息的签名进行数字签署,然后对其进行验证。保证完整性可降低数据在网络中传输时被修改的风险。
另外,通过使用签名验证算法方法对数字签署主体、时间戳记和 WS-Addressing 头进行验证来提供消息完整性。WSS API 指定要用于验证证书的算法。签名算法指定签名验证方法的统一资源标识 (URI)。WebSphere® Application Server 支持多个预配置的验证算法方法。
可以使用下列接口来配置 Web Service 安全性及保护 SOAP 消息完整性:
- 使用管理控制台来配置策略集以进行签名验证。
- 使用 Web Service 安全性 API (WSS API) 来配置 SOAP 消息上下文(仅适用于客户机)。
使用 WSS API 执行下列验证任务以配置签名信息及保护使用者绑定的消息完整性。
过程
- 使用 WSSSignature API 配置签名信息。 使用 WSSVerification API 为使用者绑定配置签名验证信息。签名验证信息用于验证消息的部件,其中包括 SOAP 主体、时间戳记和 WS-Addressing 头。可对相同的消息部件(如 SOAP 主体)应用验证和解密。
- 使用 WSSVerifyPart API 添加、更改或验证部件。
- 使用 WSSVerification 或 WSSVerifyPart API 配置客户机用于请求签署方法。 要配置客户机进行响应验证,请选择验证方法。使用 WSSVerification API 来配置规范方法和签名方法。使用 WSSVerifyPart API 来配置摘要方法和变换方法。