【发布时间】:2016-11-21 15:46:49
【问题描述】:
我一直在努力学习 WS-Security —— 特别是如何使用 WebSphere 8.5(完整配置文件)配置和测试它。 (我使用 Rational Software Architect 9.5 作为 IDE。)
我已经浏览了几个 IBM 教程,但我对我创建并附加到 SOAP Web 服务提供者和客户端的策略集在我测试它们时甚至被强制执行感到不满意。
示例:我在 IBM 网站上使用了本教程:
入门:使用策略集和默认绑定对消息进行签名和加密 (http://www14.software.ibm.com/webapp/wsbroker/redirect?version=matt&product=was-nd-dist&topic=twbs_getstart_policyset)
我按照教程中的描述创建了策略集——一个看似具有以下特征的简单策略集:
- 出站邮件中发送的时间戳
- 入站消息需要时间戳
- 签署请求和响应(正文、WS-Addressing 标头和时间戳)
- 加密请求和响应(SOAP 安全标头中的正文和签名元素)
我将此策略集附加到:
- 在一个本地 WebSphere Application Server 实例上设置的 Web 服务提供者(“提供者 WAS 实例”)
- 在另一个本地 WebSphere Application Server 实例(“客户端 WAS 实例”)上设置的 Web 服务客户端。
Web 服务客户端还有一个基于 JSP 的测试工具,我使用 RSA 的 Java 框架类创建向导设置了它。我设置了基于 JSP 的工具来调用 Provider WAS Instance 上的服务。
我根本没有设置证书或密钥,因为这样做不是教程的一部分。
当我导航到 Web 服务客户端的基于 JSP 的测试工具并调用 Web 服务时,我得到了成功的回复,没有关于签名请求消息的身份验证失败的消息,也没有关于失败的消息客户端解密。
由于我没有配置任何密钥或证书或将它们与客户端或提供程序相关联,我不应该收到这类错误吗?如果不是,那么 Provider WAS Instance 和 Client WAS Instance 使用什么来完成所有这些工作?
我知道这些是“n00b”问题,但这种材料一直是一个挑战。如果有任何建议可以帮助我快速了解这个主题,我将不胜感激。提前致谢。
【问题讨论】:
标签: web-services soap websphere-8 ws-security