配置概述

Web Service 安全性约束是在 Java™ 2 Platform, Enterprise Edition(J2EE)Web Service 部署描述符的 IBM® 扩展中定义的。Web Service 安全性的 IBM 扩展部署描述符和绑定是 IBM 的专利。由于这些文件的复杂性,建议您不要使用文本编辑器手工编辑部署描述符和绑定文件,这是因为它们可能会导致错误。而建议使用 IBM 提供的工具来为应用程序配置 Web Service 安全性约束。这些工具包括 Rational® Application Developer、Application Server Toolkit 和 WebSphere® Application Server 管理控制台。

下表提供客户机和服务器的部署描述符名和绑定文件名。
文件类型 客户端 服务器端
部署描述符 ibm-webservicesclient-ext.xmi ibm-webservices-ext.xmi
绑定文件 ibm-webservicesclient-bnd.xmi ibm-webservices-bnd.xmi

在部署描述符中指定“什么”之类的内容,例如,签署哪些消息部件和对哪个令牌进行加密。在绑定文件中指定“如何”之类的内容,例如,如何签署消息、如何生成和使用安全性令牌。

除了应用程序部署描述符文件和绑定文件以外,WebSphere Application Server V6 还具有服务器级别的 WSS 配置。这些配置对于所有的应用程序都是全局的。因为 WebSphere Application Server V6 支持 5.x 应用程序,所以某些配置仅对 V5.x 应用程序有效,某些配置仅对 V6 应用程序有效。

下图表示应用程序部署描述符和绑定文件与单元或服务器级别配置的关系。

应用程序部署描述符文件和绑定文件与应用程序服务器的关系

平台配置概述

WebSphere Application Server 管理控制台提供了下列选项:
现时标志高速缓存超时
在单元级别(仅 Network Deployment)上发现的此选项指定现时标志的高速缓存超时值(以秒为单位)。
现时标志最大时限
在单元级别(仅 Network Deployment)和服务器级别上发现的此选项指定现时标志的缺省生存期范围(以秒为单位)。
现时标志时钟偏差
在单元级别(仅 Network Deployment)和服务器级别上发现的此选项指定缺省时钟偏差以说明网络延迟、处理延迟等等。当现时标志到期时,会使用它来计算。它的度量单位是秒。
分布现时标志高速缓存
此功能使您能将现时标志的高速缓存分布到集群中不同的服务器。此功能是 WebSphere Application Server V6 的新增功能。
可以在应用程序绑定中引用以下功能:
密钥定位器
此功能指定如何为签署、加密和解密检索密钥。密钥定位器的实现类在 WebSphere Application Server V6 和 V5.x 中是不同的。
集合证书库
此功能指定证书路径验证的证书库。它在签名验证期间通常用于验证 X.509 令牌或用证书撤销列表构造 X.509 令牌,此证书撤销列表以 PKCS#7 格式编码。只有 WebSphere Application Server V6 应用程序才支持证书撤销列表。
信任锚
此功能指定签署者证书的可信级别,而且在签名验证期间它通常用于 X.509 令牌验证。
可信标识鉴别程序
此功能指定如何验证标识的可信级别。此功能与标识声明配合使用。
登录映射
此功能指定到认证方法的登录配置绑定。只有 WebSphere Application Server V5.x 应用程序才使用此功能,建议不要使用此功能。

缺省绑定

缺省绑定功能指定缺省绑定,以便应用程序不必在 Web Service 安全性的应用程序绑定文件中定义绑定。只存在一组缺省绑定,而且可以由多个应用程序共享这些绑定。此功能部件仅可用于 WebSphere Application Server V6 应用程序。

下图显示应用程序企业归档(EAR)文件和 ws-security.xml 文件之间的关系。

企业归档(EAR)文件与 ws-security.xml 文件的关系

应用程序 EAR 1 和 EAR 2 在应用程序绑定文件中具有特定的绑定。然而,应用程序 EAR 3 和 EAR 4 在应用程序绑定文件中不具有绑定,而是使用定义在 ws-security.xml 文件中的缺省绑定。由层次结构中最新的配置来解析此配置。例如,可能有三个分别定义在应用程序绑定文件、服务器级别和单元级别中的名为“mykeylocator”的密钥定位器。如果在应用程序绑定中引用 mykeylocator,则将使用应用程序绑定中定义的密钥定位器。 数据的可视性作用域取决于定义数据的位置。如果数据定义在应用程序绑定中,则其可视性作用域限于现有该特定应用程序。如果数据定义在服务器级别上,则可视性作用域是部署在该服务器上的所有应用程序。如果数 据定义在单元级别上,则可视性作用域是部署在单元中服务器上的所有应用程序。通常,如果数据不必由其 他应用程序共享,则在应用程序绑定级别上定义配置。

下图显示应用程序、服务器和单元级别上绑定的关系。

应用程序级别绑定、服务器级别绑定和单元级别绑定之间的关系

相关概念
现时标志,随机生成的令牌
分布式现时标志高速缓存
密钥定位器
集合证书库
信任锚
可信标识鉴别程序

反馈