在 WebSphere Application Server V7 上通过 JAX-WS 实现消息级安全性: 集成 JEE 授权

核心提示：简介Web Services Security (WS-Security) 是一种描述如何对 Web 服务实现消息级安全性的 OASIS 标准，具体来讲，在 WebSphere Application Server V7 上通过 JAX-WS 实现消息级安全性: 集成 JEE 授权，WS-Security 描述如何实现

简介

Web Services Security (WS-Security) 是一种描述如何对 Web 服务实现消息级安全性的 OASIS 标准。具体来讲，WS-Security 描述如何实现机密性（例如加密）、完整性（例如数字签名）并在 SOAP 消息中传播用于身份验证的安全令牌（token）（例如用户名和密码）。然而，WS-Security 允许在 SOAP 消息中同时发送多个安全令牌，并且典型的 Java™ Platform, Enterprise Edition (JEE) Web 服务提供者实现根据来自其中一个安全令牌的 principal（身份）执行授权检查。在本文中，我们将描述如何配置 WebSphere 来选择 SOAP 消息的安全令牌作为 JEE principal，后者可用于作出授权决策。

注意，JEE 安全模型对 Web 容器和 EJB 容器支持声明式安全授权以及编程安全性。使用 Web 容器编程 API（比如 getUserPrincipal()）和使用 EJB 容器编程 API（比如 getCallerPrincipal()）之间存在着细微的差别。然而，本文的内容是讨论如何配置 Web 服务以将 SOAP 头部中的其中一个令牌指定为 JEE principal。一旦对这个 principal 进行了设置，您就可以像往常那样使用 JEE 安全模型和 WebSphere Base Security API。

您可以通过声明或编程的方式对 servlet 和 EJB 使用 JEE 安全模型以实现授权。然而，考虑到本文的意图，我们将演示一个基于 servlet 的 Web 服务，它将使用编程式 JEE API 获得 principal。您可以对样例进行扩展以使用 JEE 编程式 API 来对基于 servlet 的基础 Web 服务提供者执行编程式授权检查，或者为 EJB 配置基于角色的 JEE 消息级安全性。针对 web 容器以及 EJB 容器的 JEE 声明式和编程安全性已在其他资料中加以介绍，因此不会作为本文的重点。。我们的目标是演示如何支持消息级安全令牌的集成，以在 WebSphere Application Server 上结合使用 JEE 授权框架。