Java Web服务 - Axis2 WS-Security签名和加密 - 编程入门网
<ds:KeyInfo Id="KeyId-3932167">
<wsse:SecurityTokenReference
xmlns:wsu=".../oasis-200401-wss-wssecurity-utility-1.0.xsd"
wsu:Id="STRId-25616143">
<wsse:Reference URI="#CertId-2650016"
ValueType=".../oasis-200401-wss-x509-token-profile-1.0#X509v1"/>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
</ds:Signature>
</wsse:Security>
</soapenv:Header>
<soapenv:Body
xmlns:wsu=".../oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Id-14306161">
<ns2:getBook xmlns:ns2="http://ws.sosnoski.com/library/wsdl">
<ns2:isbn>0061020052</ns2:isbn>
</ns2:getBook>
</soapenv:Body>
</soapenv:Envelope>
Java Web服务 - Axis2 WS-Security签名和加密(6)时间:2011-02-02 IBM Dennis SosnoskiSOAP 消息中的 <wsse:Security> 头部保存有所有运行时安全配置信息和签名数据。第一个项是 <wsu:Timestamp>,在 WS-SecurityPolicy 配置中被请求。时间戳包含了两个时间值:创建时间和过期时间。这两个值在本例中为 5 分钟的时间间隔,这是 Rampart 的默认设置。(可以在 Rampart 策略配置中修改这两个值)。这两个值之间的时间量稍微有些随意,但是 5 分钟是一个比较合理的值 — 足够处理客户机与服务器之间存在的适当的时钟偏移(系统时钟之间的差异),但是同时也能够限制利用消息进行重播攻击。在时间戳之后,安全头部的下一个项是 <wsse:BinarySecurityToken>。这个安全令牌是一个客户机证书,采用 base64 二进制编码形式。 安全头部中的第三个项是一个 <ds:Signature> 块,其中包含三个子元素。第一个子元素 <ds:SignedInfo> 是直接进行签名的消息部分。<ds:SignedInfo> 中的第一个子元素标识用于自身标准化和签名的算法。后面是一个 <ds:Reference> 子元素,针对签名中包含的每个消息组件。每个子 <ds:Reference> 元素根据标识符引用一个特定消息组件并提供应用到该组件的标准化和摘要算法,以及生成的摘要值。<ds:SignedInfo> 的其余子元素提供了实际的签名值和一个用于检验签名的公开密匙的引用(在本例中为此前在头部中的 <wsse:BinarySecurityToken> 中包含的证书,由 wsu:Id="CertId-2650016" 标识)。 加密和签名消息 向已签名的消息进行加密非常简单,只需要向策略添加一个 <sp:EncryptedParts> 元素来标识将被加密的组件,以及添加一些额外的 Rampart 配置信息。清单 4 展示了针对这一用途的策略的客户机版本(为了适合页面宽度再次进行了编辑 — 查看示例代码中的 signencr-policy-client.xml 文件获得完整文本),其中在 清单 1 策略的基础上新添的内容以粗体显示: 清单 4. 用于签名和加密(客户机)的 WS-Policy/WS-SecurityPolicy
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
