WebSphere Application Server V6.0.x 和更高版本中的高级功能部件概述
SOAP 消息的 Web Service security V1.0 规范旨在提供弹性,且适应 Web Service 的需求。例如,此规范在 Web Service 安全性 V1.0 规范中不具有必需的安全性令牌定义。但此规范会定义一般机制以将安全性令牌和简单对象访问协议(SOAP)消息关联。安全性令牌的用法是在各种安全性令牌概要文件中定义的,这些概要文件如下:
有关在 OASIS 进行安全性令牌概要文件开发的更多信息,请参阅结构化信息标准促进组织。
要点: Web Service 安全性 V1.0 规范中的有线格式已更改,而且不与 Web Service 安全性规范的先前草稿兼容。使用 Web Service 安全性规范的先前草稿实现有线格式时,不可能与 Web Service 安全性 V1.0 规范进行互操作。
从 WebSphere Application Server V5.0.2
起,提供了对可插入安全性令牌的支持。但是,在 WebSphere Application Server V6 中,已增强可插入体系结构的功能,使其支持 Web Service Security V1.0 规范、其他概要文件和其他 Web Service 安全性规范。WebSphere Application Server V6 和更高版本包括下列主要增强功能:
- 支持客户机(发送方或生成者)在 SOAP 消息中发送多个安全性令牌。
- 可从用于数字签名(验证)和加密(解密)的安全性令牌获得密钥。
- 支持签署或加密 SOAP 消息中的任何元素。但是,存在某些限制。例如,加密消息的某些部分可能破坏 SOAP 消息格式。如果加密 SOAP 主体元素,则 SOAP 消息格式会损坏。
- 支持签署 SOAP 包络、SOAP 头和 Web Service 安全性头。
- 可配置数字签名和加密的顺序。
- 支持各种机制以引用安全性令牌,如直接引用、密钥标识、密钥名和嵌入式引用。
- 支持 PKCS#7 格式证书撤销列表(CRL)对 X.509 安全性令牌进行编码。
- 支持 CRL 验证。
- 可将现时标志和时间戳记插入到 Web Service 安全性头内的元素、已签署的元素或已加密的元素中。
- 支持在 WebSphere Application Server 的当前安全上下文中使用运行方式(调用)标识来进行标识声明。
- 支持缺省绑定,其是一组应用程序的缺省 Web Service 安全性绑定。
- 可使用可插入数字签名(验证)和加密(解密)算法。
- 支持硬件加密设备的加速。
- 支持安全密钥。
- 支持基本安全概要文件(WS-I BSP)。
有关某些增强功能的更多信息,请参阅 Web Service 安全性增强功能。
配置
WebSphere Application Server V6 使用部署模型来实现
Web Service Security V1.0 规范、Username Token V1.0 Profile 和
X.509 Token V1.0 Profile。部署模型是 Java™ 2 Platform, Enterprise Edition(J2EE)的
Web Service 部署模型的扩展。Web Service 安全性约束是在基于 Web Service 端口的 IBM® 扩展部署描述符和绑定文件中定义的。
该格式的部署描述符和绑定文件是 IBM 的专用资料,不对外提供。但是,WebSphere Application Server 提供了下列工具,可以使用它们来编辑部署描述符和绑定文件:
- Application Server Toolkit
- 可以使用 Application Server Toolkit(AST)为
Web Service 安全性指定部署描述符和绑定文件,该工具是 WebSphere Application Server V6 的组装工具设计器。
- WebSphere Application Server 管理控制台
- 可以使用管理控制台来配置已部署应用程序的 Web Service 安全性绑定,该应用程序具有在部署描述符中定义的 Web Service 安全性约束。
要点: WebSphere Application Server V6.0.x 和更高版本中 Web Service 安全性的部署描述符和绑定文件格式与 WebSphere Application Server V5.0.2、V5.1 和 V5.1.1 中的格式不同。WebSphere Application Server V5.0.2、V5.1 和 V5.1.1
中的 Web Service 安全性支持基于 Web Service Security Draft 13
规范和 Username Token Draft 2 Profile。因此,建议不要使用此支持。但是,使用 Web Service 安全性 V5.0.2、V5.1 和 V5.1.1 部署描述符和绑定文件配置的应用程序可以与 WebSphere Application Server V6 和更高版本配合使用。这些应用程序使用部署描述符和绑定文件,这些部署描述符和绑定文件使用 draft 13 规范格式发出 SOAP 消息安全性。WebSphere Application Server V6.0.x 和更高版本的 Web Service 安全性部署描述符和绑定文件仅可用于 J2EE V1.4 应用程序。因此,J2EE V1.4 应用程序仅支持 Web Service 安全性 V1.0 规范。
要利用与 Web Service 安全性 V1.0 规范关联的实现,您必须:
- 将现有应用程序迁移到 J2EE V1.4
- 以新的部署描述符和绑定格式重新配置 Web Service 安全性约束
要点: 不能通过使用 Rational® Web Developer 和 Application Server Toolkit 将 Web Service 安全性的部署描述符和绑定文件从 V5.0.2、V5.1 和 V5.1.1 格式自动迁移到新的
V6.0.x 和更高版本的格式。您必须手工迁移配置。
要点: WebSphere Application Server V6.1 中的 Web Service 安全性支持部分基于标题为
Web Services Security: X.509 Token Profile 1.0 的 OASIS 规范以及第一个勘误表(Errata 1.0)。