WebSphere® Application Server V6
使用 Java™ 2 Platform, Enterprise Edition(J2EE)V1.4 Web Service
部署模型来实现 Web Service 安全性。Web Service
安全性约束是在 Web Service 部署描述符和绑定的 IBM® 扩展中指定的。Web Service 安全性运行时执行在部署描述符中指定的安全性约束。部署模型的优点之一是可以在应用程序业务逻辑外定义 Web Service 安全性要求。借助角色分离,应用程序开发者可以集中在业务逻辑上,而安全专家可以指定安全要求。
下图显示了 WebSphere Application Server V6 中用来保护
Web Service 安全性的高级体系结构模型。

Web Service 安全性的部署描述符和绑定都基于 Web Service 端口。可以为每个 Web Service 端口定义其自身唯一的 Web Service 安全性约束。例如,可以配置 Web Service 端口 A 来对简单对象访问协议(SOAP)主体和用户名令牌进行签名。您可以配置 Web Service 端口 B 来为 SOAP 主体内容等加密。
如在上图中所示,在客户端和服务器端上都有两组配置。
- 请求生成者
- 此客户端配置定义出局 SOAP 消息请求的 Web Service 安全性要求。这些要求可能涉及生成 SOAP 消息请求,此消息请求使用数字签名、合并加密和连接安全性令牌。在 WebSphere Application Server V5.0.2、V5.1 和
V5.1.1 中,请求生成者被称为请求发送方。
- 请求使用者
- 此服务器端配置定义入局 SOAP 消息请求的 Web Service 安全性要求。这些要求可能涉及验证是否数字签署了所需的完整性部件;验证数字签名;验证所需的机密部件是否由请求生成者加密;解密所需的机密部件;验证安全性令牌;以及验证是否用适当的标识设置安全上下文。在 WebSphere Application Server V5.0.2、V5.1
和 V5.1.1 中,请求使用者被称为请求接收方。
- 响应生成者
- 此服务器端配置定义出局 SOAP 消息响应的 Web Service 安全性要求。这些要求可能涉及生成具有 Web Service 安全性的 SOAP 消息响应;包括数字签名;以及加密和连接安全性令牌(如果需要)。在 WebSphere Application Server V5.0.2、V5.1
和 V5.1.1 中,响应生成者被称为响应发送方。
- 响应使用者
- 此客户端配置定义入局 SOAP 响应的 Web Service 安全性要求。这些要求可能涉及验证是否签署了完整性部件和验证了签名;验证是否加密了所需的机密部件和解密了这些部件;以及验证安全性令牌。在 WebSphere Application Server V5.0.2、V5.1
和 V5.1.1 中,响应使用者被称为响应接收方。
WebSphere Application Server V6
未包括客户端与服务器端之间的安全策略协商或交换。此安全策略协商是由
WS-Policy、WS-PolicyAssertion 和 WS-SecurityPolicy 规范定义的,它在 WebSphere Application Server V6
中不受支持。
注: 在请求生成者中定义的 Web Service 安全性要求必须与请求使用者匹配。在响应生成者中定义的要求必须与响应使用者匹配。否则,会拒绝请求或响应,这是因为请求使用者和响应使用者无法满足 Web Service 安全性约束。
Web Service 安全性部署描述符和绑定的格式是
IBM 的专利。但是,以下工具可用于编辑部署描述符和绑定:
- Rational® Application Developer V6
- 使用此工具编辑 Web Service 安全性部署描述符和绑定。可以使用此工具组装 Web 和 EJB 模块。
- Application Server Toolkit
- 使用此工具编辑 Web Service 安全性部署描述符和绑定。
- WebSphere Application Server V6 管理控制台
- 可以使用此工具来编辑已部署的应用程序的 Web Service 安全性绑定。