Java Web Services:不使用客户端证书的WS-Security - 编程入门网

清单 1 策略中的 <sp:SymmetricBinding> 断言是配置使用带有保密密钥的对称加密的代码。所嵌入的 <sp:X509Token> 断言表示有一个 X.509 证书将用于保护保密密钥的传输（即，加密所传输的保密密钥），而这是使用指纹引用（本质上是一个散列值）识别的证书。客户端生成的保密密钥是隐式使用带有 <sp:X509Token> 保护令牌的 <sp:SymmetricBinding> 断言。其他策略断言则规定了加密算法的细节和必要的特性，而最终 <sp:EncryptedParts> 断言表示将要使用保密密钥进行加密的 SOAP Body。

正如您在之前的文章中看到的，安全性处理的运行时参数（如密钥保存和密码）必须采用与实现无关的方式进行定义。在这里，这些参数是很简单的：客户端需要访问包含服务器证书的可信存储，而服务器端则需要访问包含证书中与公钥相匹配的私有密钥的密钥存储。请阅读这个 系列文章 了解参数在各个协议之间是如何传递的。

Java Web Services:不使用客户端证书的WS-Security(2)

不使用客户端证书的 WS-SecureConversation

在使用 WS-SecureConversation 时，您可以使用相同的技术在没有客户端证书的情况下处理客户端和 Security Token Service (STS) 之间的消息交换。（阅读 “WS-Trust 和 WS-SecureConversation” 和 “WS-SecureConversation 性能” 了解 WS-SecureConversation 的细节。）要使用这种方法，您基本上需要将 清单 1 的策略替换为 <sp:BootstrapPolicy>，以实现安全会话。清单 2 显示了这是如何工作的，它用粗体显示的 <sp:SymmetricBinding> 替换 “WS-SecureConversation 性能” 中使用的 <sp:AsymmetricBinding>：

清单 2. WS-SecureConversation 中不使用客户端证书的 WS-Policy

<wsp:Policy　wsu:Id="SecureConv" 　xmlns:wsu=".../oasis-200401-wss-wssecurity-utility-1.0.xsd" 　xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" 　xmlns:sp="http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702"> 　<wsp:ExactlyOne> 　<wsp:All> 　　<sp:SymmetricBinding> 　　<wsp:Policy> 　　　<sp:ProtectionToken> 　　　<wsp:Policy> 　　　　<sp:SecureConversationToken 　　　　　sp:IncludeToken=".../IncludeToken/AlwaysToRecipient"> 　　　　<wsp:Policy> 　　　　　<sp:BootstrapPolicy> 　　　　　<wsp:Policy> 　　　　　　<sp:SymmetricBinding> 　　　　　　<wsp:Policy> 　　　　　　　<sp:ProtectionToken> 　　　　　　　<wsp:Policy> 　　　　　　　　<sp:X509Token　sp:Includ

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!