ws-security.html

Sun Java System Application Server Enterprise Edition 8.1 管理指南

<a name="wp930185"> </a><div class="pSmartList1"><li>选择要配置的实例：</li></div>
<div class="pSmartList2"><ol type="a" class="pSmartList2">
<a name="wp930187"> </a><div class="pSmartList2"><li>要配置特定的实例，请选择该实例的配置节点。例如，对于默认实例 <code class="cCode">server</code>，请选择 <code class="cCode">server-config</code> 节点。</li></div>
<a name="wp930189"> </a><div class="pSmartList2"><li>要配置所有实例的默认设置，请选择 <code class="cCode">default-config</code> 节点。</li></div>
</ol></div>
<a name="wp930191"> </a><div class="pSmartList1"><li>展开“安全性”节点。</li></div>
<a name="wp930193"> </a><div class="pSmartList1"><li>展开“消息安全性”节点。</li></div>
<a name="wp930195"> </a><div class="pSmartList1"><li>选择“SOAP”节点。</li></div>
<a name="wp930197"> </a><div class="pSmartList1"><li>选择“提供者”选项卡。</li></div>
<a name="wp930199"> </a><div class="pSmartList1"><li>在“提供者配置”页面中，单击“新建”。</li></div>
<a name="wp930201"> </a><div class="pSmartList1"><li>在“创建提供者配置”页面的“提供者配置”部分，输入以下信息：</li></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930203"> </a><div class="pSmartList2"><li><b class="cStrong">默认提供者</b>——选中该字段旁边的框，以使新消息安全性提供者成为要为尚未绑定特定提供者的任何应用程序调用的提供者。提供者是成为默认客户机提供者、默认服务器提供者还是两者兼而有之，取决于为“提供者类型”所选的值。</li></div>
<a name="wp930205"> </a><div class="pSmartList2"><li><b class="cStrong">提供者类型</b>——选择 <code class="cCode">client</code>、<code class="cCode">server</code> 或 <code class="cCode">client-server</code> 以确定是将提供者用作客户机验证提供者、服务器验证提供者还是兼用作两者（客户机-服务器提供者）。 </li></div>
<a name="wp930207"> </a><div class="pSmartList2"><li><b class="cStrong">提供者 ID</b>——输入该提供者配置的标识符。此名称将显示在“当前提供者配置”列表中。</li></div>
<a name="wp930209"> </a><div class="pSmartList2"><li><b class="cStrong">类名</b>——输入提供者的 Java 实现类。客户机验证提供者必须实现 <code class="cCode">com.sun.xml.wss.provider.ClientSecurityAuthModule</code> 接口。服务器端提供者必须实现 <code class="cCode">com.sun.xml.wss.provider.ServerSecurityAuthModule</code> 接口。一个提供者可以实现这两种接口，但该提供者必须实现对应于其提供者类型的接口。</li></div>
</ul></div>
<a name="wp930211"> </a><div class="pSmartList1"><li>在“创建提供者配置”页面的“请求策略”部分，根据需要输入以下<span style="font-weight: bold">可选</span>值。这些属性是可选的，但如果不指定这些属性，将不会对请求消息执行任何验证。 </li></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930213"> </a><div class="pSmartList2"><li><b class="cStrong">验证源</b>——选择 <code class="cCode">sender</code>、<code class="cCode">content</code> 或空（空白选项）来定义对消息层发件人验证的要求（例如用户名密码）、内容验证（例如数字签名）或不对请求消息执行任何验证。如果指定为空，则不需要进行请求的源验证。</li></div>
<a name="wp930215"> </a><div class="pSmartList2"><li><b class="cStrong">验证收件人</b>——选择 <code class="cCode">beforeContent</code> 或 <code class="cCode">afterContent</code> 来定义向发件人响应消息的收件人的消息层验证的请求（例如，通过 XML 加密）。如果不指定该值，则其为默认值 <code class="cCode">afterContent</code>。</li></div>
<a name="wp930221"> </a><p class="pStepParaI1">
有关为产生以下消息保护策略而由 SOAP 消息安全性提供者执行的操作的说明，请参见“<a  href="ws-security.html#wp930289" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930289">请求策略配置和响应策略配置的操作</a>”。
</p>
</ul></div>
<a name="wp930223"> </a><div class="pSmartList1"><li>在“创建提供者配置”页面的“响应策略”部分，根据需要输入以下<span style="font-weight: bold">可选</span>属性。这些属性是可选的，但如果不指定这些属性，将不会对响应消息执行任何验证。</li></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930225"> </a><div class="pSmartList2"><li><b class="cStrong">验证源</b>——选择 <code class="cCode">sender</code>、<code class="cCode">content</code> 或空（空白选项）来定义要应用到响应消息的消息层发件人验证的请求（例如用户名口令）或内容验证（例如数字签名）。如果指定为空，则不需要进行响应的源验证。</li></div>
<a name="wp930227"> </a><div class="pSmartList2"><li><b class="cStrong">验证收件人</b>——选择 <code class="cCode">beforeContent</code> 或 <code class="cCode">afterContent</code> 来定义向发件人响应消息的收件人的消息层验证的请求（例如，通过 XML 加密）。如果不指定该值，则其为默认值 <code class="cCode">afterContent</code>。</li></div>
<a name="wp930233"> </a><p class="pStepParaI1">
有关为产生以下消息保护策略而由 SOAP 消息安全性提供者执行的操作的说明，请参见“<a  href="ws-security.html#wp930289" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930289">请求策略配置和响应策略配置的操作</a>”。
</p>
</ul></div>
<a name="wp930235"> </a><div class="pSmartList1"><li>通过单击“添加属性”按钮添加其他属性。Application Server 附带的提供者支持下面列出的属性。如果使用了其他提供者，则有关属性和有效值的更多信息，请参阅其他提供者的文档。</li></div>
<div class="pSmartList2"><ul class="pSmartList2">
<a name="wp930237"> </a><div class="pSmartList2"><li><code class="cCode">server.config</code>——包含服务器配置信息的 XML 文件的目录和文件名。例如，该值为 <em class="cEmphasis">install_dir</em><code class="cCode">/domains/</code><em class="cEmphasis">domain_dir</em><code class="cCode">/config/wss-server-config.xml</code>。</li></div>
</ul></div>
<a name="wp930239"> </a><div class="pSmartList1"><li>单击“确定”保存此配置，或单击“取消”退出而不保存更改。</li></div>
</ol></div>
<a name="wp930241"> </a><p class="pParagraph">
等效的 <code class="cCode">asadmin</code> 命令为：<code class="cCode">create-message-security-provider</code>
</p>
<a name="wp930289"> </a><h4 class="pHeading3">
请求策略配置和响应策略配置的操作
</h4>
<a name="wp930296"> </a><p class="pParagraph">
<a  href="ws-security.html#wp929011" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929011">表 15-1</a> 显示了消息保护策略配置以及由该配置的 WS-Security SOAP 消息安全性提供者所执行的最终消息安全性操作。</p><div align="left">
<table border="1" cellpadding="5" cellspacing="0" summary="Security policy configurations and the corresponding actions performed by the WSS provider auth modules" id="wp929011">
  <caption><a name="wp929011"> </a><p class="pCaption">
表 15-1 消息保护 策略与 WS-Security SOAP 消息安全性操作的映射
</p>
</caption>
  <tr bgcolor="#cdccee" align="left" valign="top">    <th scope="col"><a name="wp929017"> </a><p class="pTableHead">
消息保护策略
</p>
</th>
    <th scope="col"><a name="wp929019"> </a><p class="pTableHead">
最终的 WS-Security SOAP 消息保护操作
</p>
</th>
</tr>
  <tr align="left" valign="top">    <td><a name="wp929025"> </a><p class="pTableText">
auth-source="sender"
</p>
</td>
    <td><a name="wp929027"> </a><p class="pTableText">
此消息包含 <code class="cCode">wsse:Security</code> 标头，此标头包含 <code class="cCode">wsse:UsernameToken</code>（带有密码）。
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp929033"> </a><p class="pTableText">
auth-source="content"
</p>
</td>
    <td><a name="wp929035"> </a><p class="pTableText">
对 SOAP 消息主体的内容进行签名。此消息包含 <code class="cCode">wsse:Security</code> 标头，此标头包含显示为<code class="cCode"> ds</code>:<code class="cCode">Signature</code> 的消息主体签名。
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp929041"> </a><p class="pTableText">
auth-source="sender"
</p>
<a name="wp929043"> </a><p class="pTableText">
auth-recipient="before-content"
</p>
<a name="wp929045"> </a><p class="pTableText">
                或
</p>
<a name="wp929047"> </a><p class="pTableText">
auth-recipient="after-content"
</p>
</td>
    <td><a name="wp929049"> </a><p class="pTableText">
SOAP 消息主体的内容已加密并用最终的 <code class="cCode">xend:EncryptedData</code> 替换。此消息包含 <code class="cCode">wsse:Security</code> 标头，此标头包含 <code class="cCode">wsse:UsernameToken（带有密码）</code>和 <code class="cCode">xenc:EncryptedKey</code>。<code class="cCode">xenc:EncryptedKey</code> 包含用于加密 SOAP 消息主体的密钥。此密钥在收件人的公共密钥中加密。
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp929055"> </a><p class="pTableText">
auth-source="content"
</p>
<a name="wp929057"> </a><p class="pTableText">
auth-recipient="before-content"
</p>
</td>
    <td><a name="wp929059"> </a><p class="pTableText">
SOAP 消息主体的内容已加密并用最终的 xend:EncryptedData 替换。对 <code class="cCode">xenc:EncryptedData</code> 进行签名。此消息包含 <code class="cCode">a wsse:Security</code> 标头，此标头包含 <code class="cCode">xenc:EncryptedKey</code> 和 <code class="cCode">ds</code>:<code class="cCode">Signature</code>。<code class="cCode">xenc:EncryptedKey</code> 包含用于加密 SOAP 消息主体的密钥。此密钥在收件人的公共密钥中加密。
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp929065"> </a><p class="pTableText">
auth-source="content"
</p>
<a name="wp929067"> </a><p class="pTableText">
auth-recipient="after-content"
</p>
</td>
    <td><a name="wp929069"> </a><p class="pTableText">
对 SOAP 消息主体的内容进行签名、加密，并用最终的 xend:EncryptedData 替换。此消息包含 <code class="cCode">wsse:Security</code> 标头，此标头包含 <code class="cCode">xenc:EncryptedKey</code>  和 <code class="cCode">dsSignature</code>。<code class="cCode">xenc:EncryptedKey</code> 包含用于加密 SOAP 消息主体的密钥。此密钥在收件人的公共密钥中加密。
</p>
</td>
</tr>
  <tr align="left" valign="top">    <td><a name="wp929075"> </a><p class="pTableText">
auth-recipient="before-content"
</p>
<a name="wp929077"> </a><p class="pTableText">
                或
</p>
<a name="wp929079"> </a><p class="pTableText">
auth-recipient="after-content"
</p>
</td>
    <td><a name="wp929081"> </a><p class="pTableText">
SOAP 消息主体的内容已加密并用最终的 xend:EncryptedData 替换。此消息包含 <code class="cCode">wsse:Security</code> 标头，此标头包含 <code class="cCode">xenc:EncryptedKey</code>。<code class="cCode">xenc:EncryptedKey</code> 包含用于加密 SOAP 消息主体的密钥。此密钥在收件人的公共密钥中加密。
</p>
</td>
</tr>