Web Service 安全性约束是在 Java™ 2 Platform, Enterprise Edition(J2EE)Web Service 部署描述符的 IBM® 扩展中定义的。Web Service 安全性的 IBM 扩展部署描述符和绑定是 IBM 的专利。由于这些文件的复杂性,建议您不要使用文本编辑器手工编辑部署描述符和绑定文件,这是因为它们可能会导致错误。而建议使用 IBM 提供的工具来为应用程序配置 Web Service 安全性约束。这些工具包括 Rational® Application Developer、Application Server Toolkit 和 WebSphere® Application Server 管理控制台。
文件类型 | 客户端 | 服务器端 |
---|---|---|
部署描述符 | ibm-webservicesclient-ext.xmi | ibm-webservices-ext.xmi |
绑定文件 | ibm-webservicesclient-bnd.xmi | ibm-webservices-bnd.xmi |
在部署描述符中指定“什么”之类的内容,例如,签署哪些消息部件和对哪个令牌进行加密。在绑定文件中指定“如何”之类的内容,例如,如何签署消息、如何生成和使用安全性令牌。
除了应用程序部署描述符文件和绑定文件以外,WebSphere Application Server V6 还具有服务器级别的 WSS 配置。这些配置对于所有的应用程序都是全局的。因为 WebSphere Application Server V6 支持 5.x 应用程序,所以某些配置仅对 V5.x 应用程序有效,某些配置仅对 V6 应用程序有效。
下图表示应用程序部署描述符和绑定文件与单元或服务器级别配置的关系。
缺省绑定功能指定缺省绑定,以便应用程序不必在 Web Service 安全性的应用程序绑定文件中定义绑定。只存在一组缺省绑定,而且可以由多个应用程序共享这些绑定。此功能部件仅可用于 WebSphere Application Server V6 应用程序。
下图显示应用程序企业归档(EAR)文件和 ws-security.xml 文件之间的关系。
应用程序 EAR 1 和 EAR 2 在应用程序绑定文件中具有特定的绑定。然而,应用程序 EAR 3 和 EAR 4 在应用程序绑定文件中不具有绑定,而是使用定义在 ws-security.xml 文件中的缺省绑定。由层次结构中最新的配置来解析此配置。例如,可能有三个分别定义在应用程序绑定文件、服务器级别和单元级别中的名为“mykeylocator”的密钥定位器。如果在应用程序绑定中引用 mykeylocator,则将使用应用程序绑定中定义的密钥定位器。 数据的可视性作用域取决于定义数据的位置。如果数据定义在应用程序绑定中,则其可视性作用域限于现有该特定应用程序。如果数据定义在服务器级别上,则可视性作用域是部署在该服务器上的所有应用程序。如果数 据定义在单元级别上,则可视性作用域是部署在单元中服务器上的所有应用程序。通常,如果数据不必由其 他应用程序共享,则在应用程序绑定级别上定义配置。
下图显示应用程序、服务器和单元级别上绑定的关系。