此令牌有效的时间区间（<wst:Lifetime> 元素）

一个 proof 令牌（<wst:RequestedProofToken> 元素）

由服务器提供的用来生成私密密匙的熵数据（<wst:Entropy> 元素）

此 proof 令牌的内容定义了这个共享的秘密值以用作非对称加密的基础。在本例中，该共享的秘密值是通过使用一种确定的算法综合了由客户机和服务器提供的熵值生成的。

其他选项

除了 Issue 请求类型外，还可以向 STS 做 Validate、Renew 和 Cancel 请求。这些请求均需要之前已发出的令牌以便引用或提供。它们允许此客户机验证此令牌或者请求延长或终止此令牌的有效时间区间。

当只返回单一一个令牌时，来自 STS 的响应可以直接使用 <wst:RequestSecurityTokenResponse> 元素，而不用像 清单 2 所示的那样将其包装于 <wst:RequestSecurityTokenCollection> 元素内。对 STS 的请求则可以使用一个 <wst:RequestSecurityTokenCollection> 元素，该元素包装了任意数量的 <wst:RequestSecurityToken> 元素。

WS-Trust 还允许在 SOAP 消息头内直接传输安全令牌，而不是通过 STS Web 服务接口。如果令牌获取自一个与服务不在一处的 STS，那么这将是共享令牌的惟一方式。

WS-SecureConversation

WS-SecureConversation 构建于 WS-Trust 基础上，使用一个 STS 来管理 SCT。一个 SCT 代表的是在消息交换所涉各方之间共享的上下文，此共享上下文内的信息允许各方使用非对称加密来确保信息的安全。

特别地，此上下文向消息交换中所涉的各方提供了一个共享的秘密值（如 清单 2 响应消息内所示）。这个共享的秘密值本身可以是在交换过程中用来对消息进行非对称加密的密匙，但更建议的一种方式是使用这个共享秘密值作为获取交换中所需的实际私密密匙的基础值。这看起来虽然有点过于复杂，但却可以更好地难住那些监视消息交换并试图破译密匙的人。

STS 和服务

WS-SecureConversation 在理论上可以用于多方的消息交换，但它最为常见的用法是用在一个客户机与一个服务器之间的通信。当用在这种配置中时，向客户机提供 SCT 的这个 STS 与此服务器位于一处，可在相同的端点地址访问到。这意味着服务器上的 Web 服务代码需要一种方式来辨别哪些消息是针对 STS 的，哪些消息是针对服务本身；用此请求上的这个动作可服务此目的。

图 1 展示了这种位于一处的 STS 配置以及消息交换：

图 1. 与服务位于一处的 WS-SecureConversation STS

当客户机想要开始与服务器交换消息时，它首先会联系此 STS 并建立上下文。此消息，如 图 1 中的消息 1 所示，指定了动作 http://schemas.xmlsoap.org/ws/2005/02/trust/RST/SCT。此响应，消息 2，则向客户机提供了此 SCT。上下文在消息 3 中被引用，由它指定与实际的服务应用程序相关的任何动作。在此时间区间内，这个 SCT 在自此客户机至此服务的任何连续消息中均有效。消息 3 和 4 使用了基于共享秘密的对称加密，客户机和服务之间的所有后续消息也是如此。服务应用程序使用由此客户机提供的上下文引用来直接访问来自这个上下文（由 STS 保存的）的共享秘密。

Java Web捲暦: WS-Trust才WS-SecureConversation(5)

WS-Policy 塘崔

WS-SecureConversation 聞喘議 WS-Policy 才 WS-SecurityPolicy 塘崔嚥云狼双岻念議猟嫗嶄網胎議児云 WS-Security 侃尖侭聞喘議塘崔?貌。匯倖寄議曝艶壓噐輝聞喘 WS-SecureConversation 扮?緩貨待駅倬梱固曾嶽音揖議住算 — 軸人薩字嚥 STS 岻寂議住算參式人薩字嚥糞縞議捲暦岻寂議住算。斤噐嚥 STS 岻寂議住算?辛壓貨待宙峰嶄宥狛聞喘匯倖廼耗議貨待紗參侃尖?遇緩貨待議麼

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!