Die Felder im Abschnitt "Angepasste Eigenschaften" sind für alle Tokenkonfigurationstypen verfügbar.
Hier können Sie die vom Callback-Handler benötigten angepassten Eigenschaften in Form von Name/Wert-Paaren eingeben.
Wenn Sie bei der Verwendung des Programmiermodells JAX-WS die Verschlüsselung des Unterzeichnerzertifikats
implementieren möchten, fügen Sie die angepasste Eigenschaft
com.ibm.wsspi.wssecurity.token.cert.useRequestorCert mit dem Wert
true im Callback-Handler des Verschlüsselungstokengenerator hinzu.
Diese Implementierung verwendet das Zertifikat des Unterzeichners der
SOAP-Anforderung, um die SOAP-Antwort zu verschlüsseln. Diese angepasste Eigenschaft wird vom Antwortgenerator verwendet.
Für ein angepasstes Kerberos-Token, das auf OASIS Web Services Security
Specification for Kerberos Token Profile V1.1 basiert, geben Sie die folgende Eigenschaft für die Tokengenerierung an:
com.ibm.wsspi.wssecurity.krbtoken.clientRealm.
Diese Eigenschaft gibt den Namen des Kerberos-Realms an, der dem Client zugeordnet ist, und ermöglicht dem Kerberos-Client-Realm, die
Kerberos-Anmeldung einzuleiten.
Wenn Sie diese Eigenschaft nicht angeben, wird der Kerberos-Standard-Realm-Name verwendet. Diese
Eigenschaft ist für eine einzelne Kerberos-Realm-Umgebung optional.Wenn Sie die Web-Service-Sicherheit in einer Kerberos-Realm-übergreifenden Umgebung oder einer anerkannten
Kerberos-Realm-Umgebung implementieren, müssen Sie einen Wert für die Eigenschaft
"clientRealm" angeben.
Die angepasste Kerberos-Eigenschaft com.ibm.wsspi.wssecurity.krbtoken.loginPrompt
ermöglicht die Kerberos-Anmeldung, wenn sie auf true gesetzt ist.
Der Standardwert ist False. Diese Eigenschaft ist optional.
Wenn Sie ein Benutzernamenstoken für das JAX-WS-Programmiermodell als Schutz vor Attacken durch Nachrichtenaufzeichnung und -wiederholung
konfigurieren, wird dringend empfohlen, der Callback-Handler-Konfiguration die folgenden angepassten Eigenschaften hinzuzufügen.
Diese angepassten Eigenschaften aktivieren und prüfen Nonce und Zeitmarke für die Nachrichtenauthentifizierung.
Eigenschaftsname (Generator) |
Eigenschaftswert |
com.ibm.wsspi.wssecurity.token.username.addNonce |
true |
com.ibm.wsspi.wssecurity.token.username.addTimestamp |
true |
Eigenschaftsname (Konsument) |
Eigenschaftswert |
com.ibm.wsspi.wssecurity.token.username.verifyNonce |
true |
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp |
true |