为 Web Service 安全性配置应用程序

要保护 Web Service 应用程序,需要使用组装工具(如 WebSphere® Application Server Toolkit 或 Rational® Developer 产品)来保护 Web Service 所发送和接收的 SOAP 消息。在这两个产品中,都可以使用 Web Service 编辑器来完成此工作。
存在八个 Web Service 安全性部件,必须配置它们以使用数字签名或加密来保护简单对象访问协议(SOAP)消息。这些部件的其中四个涉及部署描述符扩展,另外四个涉及和部署描述符相关的绑定。下表说明这八个部件,涉及客户机和服务器或作为客户机的服务器。建议您在表中以从左到右的顺序配置每个这些部件。例如,先配置请求生成者扩展,然后配置请求使用者扩展,因为这些配置必须匹配。在配置请求生成者和请求使用者扩展之后,配置请求生成者和请求使用者绑定等。
表 1. 客户机和服务器关系以及扩展和绑定关系
客户机 服务器
1. 请求生成者扩展 2. 请求使用者扩展
3. 请求生成者绑定 4. 请求使用者绑定
5. 响应使用者扩展 6. 响应生成者扩展
7. 响应使用者绑定 8. 响应生成者绑定

在 WebSphere Application Server V6 的 Web Service 安全性中,完整性指的是数字签名,机密性指的是加密。完整性可减少数据在网络中传输时被修改的风险。机密性可减少消息在网络中传递时被其他人拦截的风险。但是,采用机密性规范时,在发送消息之前将对消息进行加密,而目标服务器接收到该消息之后再对它进行解密。本文提供使用完整性或机密性保护您的 Web Service 所需的步骤。

在生成者绑定中,您可以指定签署(完整性)或加密(机密性)的消息部件以及使用的方法。在使用者绑定中,您可以指定何时签署或加密消息部件。在验证数字签名或加密是否在使用者绑定中之后,使用者验证是否实际签署或加密了指定的消息部件。如果需要数字签名或加密并且未签署或加密消息,则使用者拒绝该消息。

有两种不同的方法指定需要签署(完整性)或加密(机密性)的内容。您可以使用关键字或 XPath 表达式来配置消息部件、现时标志或时间戳记。使用关键字时,您仅可以指定消息中的某个元素。使用 XPath 表达式,您可以指定任何消息部件。

通过完成先前的步骤,您已为数字签名(完整性)或加密(机密性)配置了应用程序。
除了保证 Web Service 的完整性和机密性,组装工具使您能完成以下任务:
相关概念
现时标志,随机生成的令牌

反馈