手工保护基于 WS-Security 的 Web Service

如果 Web Service 安全性向导不能满足需要,则可以选择手工保护 Web Service。

在受管服务容器中支持 Web Service 安全性。为了建立受管环境以及为了强制执行 Web Service 安全性约束,必须在客户机上执行 Java™ 命名和目录接口(JNDI)查询以解析服务引用。有关建议的客户机编程模型的更多信息,请参阅 Java Specification Request(JSR)109 规范中的“Service lookup”,可以从以下地址获得此信息:ftp://www-126.ibm.com/pub/jsr109/spec/1.0/websvcs-1_0-fr.pdf

WebSphere® Application Server V6 与 V5.x 兼容性

在 WebSphere Application Server V6 中,可以在 V6 应用程序服务器上运行 V5.x Web Service 保护的应用程序。然而,当您使用受 Web Service 保护的应用程序时,客户机和服务器必须使用相同版本的应用程序服务器。例如,当客户机使用 WebSphere Application Server V6 并且服务器使用 V5.x 时,Web Service 保护的应用程序无法正常地工作。反过来,当客户机使用 WebSphere Application Server V5.x 并且服务器使用 V6 时,Web Service 保护的应用程序也无法正常工作。发生此问题的原因是 V5.x 应用程序与 V6 应用程序使用不同的 SOAP 消息格式。

配置

要使用 WebSphere Application Server 来保护 Web Service,必须指定若干个不同的配置。尽管没有必须指定这些不同配置的特定顺序,一些配置仍参考其他配置。下表显示了每个配置相互之间关系的示例。但绑定需求的依据是部署描述符。一些绑定信息的依据是绑定或服务器和单元级别配置中的其他信息。例如,签名信息引用密钥信息。
表 1. 配置之间的关系。
配置级别 配置名称 它引用的配置
应用程序级别请求生成者 令牌生成者
  • 集合证书库
  • Nonce
  • 时间戳记
  • 回调处理程序
应用程序级别请求生成者 密钥信息
  • 密钥定位器
  • 密钥名
  • 令牌
应用程序级别请求生成者 签名信息
  • 密钥信息
应用程序级别请求生成者 加密信息
  • 密钥信息
应用程序级别请求使用者 令牌使用者
  • 信任锚
  • 集合证书库
  • 可信标识鉴别程序
  • Java 认证和授权服务(JAAS)配置
应用程序级别请求使用者 密钥信息
  • 密钥定位器
  • 令牌
应用程序级别请求使用者 签名信息
  • 密钥信息
应用程序级别请求使用者 加密信息
  • 密钥信息
应用程序级别响应生成者 令牌生成者
  • 集合证书库
  • 回调处理程序
应用程序级别响应生成者 密钥信息
  • 密钥定位器
  • 令牌
应用程序级别响应生成者 签名信息
  • 密钥信息
应用程序级别响应生成者 加密信息
  • 密钥信息
应用程序级别响应使用者 令牌使用者
  • 信任锚
  • 集合证书库
  • JAAS 配置
应用程序级别响应使用者 密钥信息
  • 密钥定位器
  • 密钥名
  • 令牌
应用程序级别响应使用者 签名信息
  • 密钥信息
应用程序级别响应使用者 加密信息
  • 密钥信息
服务器级别缺省生成者绑定 令牌生成者
  • 集合证书库
  • 回调处理程序
服务器级别缺省生成者绑定 密钥信息
  • 密钥定位器
  • 令牌
服务器级别缺省生成者绑定 签名信息
  • 密钥信息
服务器级别缺省生成者绑定 加密信息
  • 密钥信息
服务器级别缺省使用者绑定 令牌使用者
  • 信任锚
  • 集合证书库
  • 可信标识鉴别程序
  • JAAS 配置
服务器级别缺省使用者绑定 密钥信息
  • 密钥定位器
  • 令牌
服务器级别缺省使用者绑定 签名信息
  • 密钥信息
服务器级别缺省使用者绑定 加密信息
  • 密钥信息
单元级别缺省生成者绑定 令牌生成者
  • 集合证书库
  • 回调处理程序
单元级别缺省生成者绑定 密钥信息
  • 密钥定位器
  • 令牌

如果多个应用程序将使用相同的绑定信息,考虑在服务器级别上配置绑定信息。例如,可能具有多个应用程序使用的全局密钥定位器配置。

因为不同的 Web Service 安全性配置之间的关系,建议按以下顺序指定配置:

在 WebSphere Application Server 的适当级别完成这些步骤之后,就已经对 Web Service 进行了保护。
注: 为应用程序级别配置信息的过程与服务器级别的配置信息类似。
相关任务
为 Web Service 安全性配置应用程序

反馈