Java Web 服务: Axis2 WS-Security 签名和加密

核心提示： 在 清单 1 中，策略中的 <sp:AsymmetricBinding> 元素给出了在消息交换中使用公开密匙加密的基本配置信息，Java Web 服务: Axis2 WS-Security 签名和加密(7)，在这个元素内，使用了一些嵌套元素来提供配置的细节，被引用的 keystore

在 清单 1 中，策略中的 <sp:AsymmetricBinding> 元素给出了在消息交换中使用公开密匙加密的基本配置信息。在这个元素内，使用了一些嵌套元素来提供配置的细节。<sp:InitiatorToken> 识别出用于对由客户机（发起者）发往服务器（接收者）的消息进行签名的密匙对，在本例中指定这个公开密匙将采用 X.509 证书的形式并连同来自客户机的消息一起发送（sp:IncludeToken=".../AlwaysToRecipient"）。<sp:RecipientToken> 识别用于对从服务器返回给客户机的消息进行签名的密匙对，同样使用的是 X.509 证书，并且证书被包含在来自服务器的消息中（sp:IncludeToken=".../AlwaysToInitiator"）。

<sp:AlgorithmSuite> 元素识别用于进行签名的一组算法。<sp:IncludeTimestamp> 提供了用于每个消息的时间戳（用于保护服务免受重播式攻击，在这种攻击下，消息在传输中被捕获并被重新提交，从而扰乱或中断服务）。<sp:OnlySignEntireHeadersAndBody> 元素指定签名将在消息的整个头部或消息体中完成，而不是在某些嵌套的元素（另一种安全措施，防止发生重写消息的攻击类型）中完成。<sp:SignedParts> 元素识别将要被签名的消息部分 — 在本例中为 SOAP 消息 Body。

清单 1 中的 WS-Policy 文档的最后一部分提供了特定于 Rampart 的配置信息。这是 “Axis2 WS-Security 基础” 中使用的 Rampart 配置的更加复杂的版本，这一次包括了一个 <ramp:user> 元素来识别将用于消息签名的密匙，以及一个 <ramp:signatureCrypto> 元素，用于配置包含客户机私有密匙和服务器证书的 keystore。被引用的 keystore 文件必须在运行时提供给类路径。在示例应用程序中，keystore 文件在构建期间被复制到 client/bin 目录中。