“定制属性”部分中的各个字段适用于所有类型的令牌配置。
可以使用“名称/值”对的形式添加回调处理程序所需的定制属性。
要在使用 JAX-WS 编程模型时实现签署者证书加密,请在加密令牌生成者的回调处理程序中添加值为 true 的定制属性 com.ibm.wsspi.wssecurity.token.cert.useRequestorCert。此实现过程使用
SOAP 请求的签署者的证书对 SOAP 响应进行加密。此定制属性由响应生成者使用。
对于基于 Kerberos 令牌概要文件 V1.1 的 OASIS Web Service 安全性规范的 Kerberos 定制令牌,请为令牌生成指定以下属性:com.ibm.wsspi.wssecurity.krbtoken.clientRealm。这将指定与客户机相关联的 Kerberos 域的名称并允许 Kerberos 客户机域启动 Kerberos 登录。如果未指定,那么使用缺省 Kerberos 域名。此属性对单个 Kerberos 域环境是可选的。在跨 Kerberos 域或信任 Kerberos 域环境中实现 Web Service 时,必须为 clientRealm 属性提供值。
Kerberos 定制属性 com.ibm.wsspi.wssecurity.krbtoken.loginPrompt 的值为 true 时,允许 Kerberos 登录。
缺省值为 False。此属性是可选的。
为 JAX-WS 编程模型配置用户名令牌时,为了防范重放攻击,强烈建议您将以下定制属性添加到回调处理程序配置。
这些定制属性启用消息认证的现时标志和时间戳记并对它们进行验证。
属性名(生成者) |
属性值 |
com.ibm.wsspi.wssecurity.token.username.addNonce |
true |
com.ibm.wsspi.wssecurity.token.username.addTimestamp |
true |
属性名(使用者) |
属性值 |
com.ibm.wsspi.wssecurity.token.username.verifyNonce |
true |
com.ibm.wsspi.wssecurity.token.username.verifyTimestamp |
true |