Các dịch vụ Web Java: Cơ sở về WS-Security của Axis2 pdf

Các dịch vụ Web Java: Cơ sở về WS-Security của Axis2

Cài đặt Rampart trong Axis2 và thực hiện xử lý UserNameToken

Dennis Sosnoski, Nhà tư vấn, Sosnoski Software Solutions, Inc.

Tóm tắt: Tìm hiểu cách bổ sung thêm mô đun an ninh Rampart cho Apache

Axis2 và bắt đầu sử dụng các tính năng WS-Security (an ninh dịch vụ Web) trong

các dịch vụ Web của bạn. Dennis Sosnoski tiếp tục loạt bài Dịch vụ Web Java

(Java Web services) của mình với việc xem xét việc sử dụng WS-Security và sử

dụng WS-SecurityPolicy (chính sách an ninh dịch vụ Web) trong Axis2, bắt đầu

với UsernameToken (thẻ bài tên người dùng) như là một bước đầu tiên đơn giản.

Một số bài viết tiếp theo sẽ đưa bạn đi tiếp với WS-Security và WS￾SecurityPolicy, khi được Axis2 và Rampart thực hiện.

An ninh là một yêu cầu chính của nhiều kiểu dịch vụ doanh nghiệp. Nó cũng là

một khu vực nguy hiểm mà tự thân bạn cần phải cố gắng thực hiện, vì thậm chí chỉ

một sự lơ đễnh nhỏ và mơ hồ có thể dẫn đến lỗ hổng nghiêm trọng. Những đặc

điểm này làm cho việc tiêu chuẩn hóa xử lý an ninh luôn hấp dẫn, cho phép nhiều

chuyên gia đóng góp vào một tiêu chuẩn và tránh bất kỳ sự lơ đễnh cá nhân nào.

Các dịch vụ Web dựa trên SOAP có thể sử dụng sự hỗ trợ WS-Security rộng rãi và

các tiêu chuẩn có liên quan cho các nhu cầu an ninh của chúng, cho phép cấu hình

an ninh cho mỗi dịch vụ khi thích hợp.

Axis2 của Apache hỗ trợ các tiêu chuẩn an ninh này thông qua mô đun Rampart

(xem Tài nguyên). Trong bài này, bạn sẽ thấy cách cài đặt, cấu hình và sử dụng

Rampart với Axis2 dành cho chức năng an ninh cơ bản về việc gửi một tên người

dùng và mật khẩu của một yêu cầu dịch vụ. Trong các bài viết tiếp theo của loạt

bài này, bạn sẽ học cách sử dụng Rampart với nhiều hình thức an ninh tinh vi hơn.

Về loạt bài này

Các dịch vụ Web là một phần chủ yếu của vai trò công nghệ Java™ trong điện

toán doanh nghiệp. Trong loạt bài viết này, nhà tư vấn XML và các dịch vụ Web

Dennis Sosnoski trình bày các khung công tác và công nghệ chính rất quan trọng

với các nhà phát triển Java khi sử dụng các dịch vụ Web. Hãy theo dõi loạt bài này

để cập nhật những phát triển mới nhất trong lĩnh vực này và hiểu được bạn có thể

sử dụng chúng để hỗ trợ cho các dự án lập trình của bạn như thế nào.

WS-Security

WS-Security (an ninh dịch vụ Web) là một tiêu chuẩn để bổ sung thêm bảo đảm

an ninh cho các trao đổi thông điệp của dịch vụ Web SOAP (xem Tài nguyên). Nó

sử dụng một phần tử của phần đầu (header) thông điệp SOAP để đính kèm thông

tin an ninh theo các thông báo, dưới dạng các thẻ bài (tokens) chuyển tải các kiểu

lời tự khai khác nhau (các lời tự khai này có thể bao gồm tên, mã nhận diện, khóa,

các nhóm, các đặc quyền, các khả năng, và v.v) cùng với thông tin mật mã hóa và

chữ ký số. WS-Security hỗ trợ nhiều định dạng cho các thẻ bài, nhiều miền tin

cậy, nhiều định dạng chữ ký và nhiều công nghệ mã hóa, do đó, trong hầu hết

trường hợp, thông tin trong phần đầu thông điệp cần phải chứa định dạng cụ thể và

định danh thuật toán cho mỗi thành phần. Các thông tin bổ sung này có thể dẫn

đến một cấu trúc phức tạp cho các thông tin phần đầu của thông điệp, như được

hiển thị trong (đã được biên tập lại nhiều) Liệt kê 1 — một ví dụ thông điệp với

chữ ký và mật mã hóa:

Liệt kê 1. Thông báo ví dụ với chữ ký và mã hóa

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" ...>

<soap:Header>

<wsse:Security soap:mustUnderstand="1">

<wsu:Timestamp wsu:Id="Timestamp-d2e3c4aa-da82-4138-973d￾66b596d66b2f">

<wsu:Created>2006-07-11T21:59:32Z</wsu:Created>

<wsu:Expires>2006-07-12T06:19:32Z</wsu:Expires>

</wsu:Timestamp>

<wsse:BinarySecurityToken ValueType="...-x509-token-profile-1.0#X509v3"

EncodingType="...-wss-soap-message-security-1.0#Base64Binary"

xmlns:wsu="...oasis-200401-wss-wssecurity-utility-1.0.xsd"

wsu:Id="SecurityToken￾faa295...">MIIEC56MQswCQY...</wsse:BinarySecurityToken>