Java Web 服务: WS-Trust 和 WS-SecureConversation

核心提示： WS-Trust 还允许在 SOAP 消息头内直接传输安全令牌，而不是通过 STS Web 服务接口，Java Web 服务: WS-Trust 和 WS-SecureConversation(5)，如果令牌获取自一个与服务不在一处的 STS，那么这将是共享令牌的惟一方式，可在相同的端点地址访问

WS-Trust 还允许在 SOAP 消息头内直接传输安全令牌，而不是通过 STS Web 服务接口。如果令牌获取自一个与服务不在一处的 STS，那么这将是共享令牌的惟一方式。

WS-SecureConversation

WS-SecureConversation 构建于 WS-Trust 基础上，使用一个 STS 来管理 SCT。一个 SCT 代表的是在消息交换所涉各方之间共享的上下文，此共享上下文内的信息允许各方使用非对称加密来确保信息的安全。

特别地，此上下文向消息交换中所涉的各方提供了一个共享的秘密值（如 清单 2 响应消息内所示）。这个共享的秘密值本身可以是在交换过程中用来对消息进行非对称加密的密匙，但更建议的一种方式是使用这个共享秘密值作为获取交换中所需的实际私密密匙的基础值。这看起来虽然有点过于复杂，但却可以更好地难住那些监视消息交换并试图破译密匙的人。

STS 和服务

WS-SecureConversation 在理论上可以用于多方的消息交换，但它最为常见的用法是用在一个客户机与一个服务器之间的通信。当用在这种配置中时，向客户机提供 SCT 的这个 STS 与此服务器位于一处，可在相同的端点地址访问到。这意味着服务器上的 Web 服务代码需要一种方式来辨别哪些消息是针对 STS 的，哪些消息是针对服务本身；用此请求上的这个动作可服务此目的。

图 1 展示了这种位于一处的 STS 配置以及消息交换：

图 1. 与服务位于一处的 WS-SecureConversation STS