<div class="pSmartList1"><ul class="pSmartList1"><a name="wp929573"> </a><div class="pSmartList1"><li>在上游角色（開發(fā)者或匯編者）尚未指定任何所需的特定于應(yīng)用程序的消息保護(hù)策略時(shí)，指定這些策略（在應(yīng)用程序匯編時(shí)）。</li></div><a name="wp929575"> </a><div class="pSmartList1"><li>修改特定于 Sun 的部署描述符以為 Web 服務(wù)端點(diǎn)和服務(wù)引用指定特定于應(yīng)用程序的消息保護(hù)策略信息（即 message-security-binding 元素）。</li></div></ul></div><a name="wp929581"> </a><p class="pParagraph">Developer&#39;s Guide 的 "<em class="cEmphasis">Securing Applications</em>" 一章中討論了這些安全性任務(wù)。（有關(guān)指向本章的鏈接，請(qǐng)參見“<a  href="ws-security.html#wp930504" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930504">詳細(xì)信息</a>”。） </p><a name="wp929585"> </a><h5 class="pHeading4">應(yīng)用程序開發(fā)者</h5><a name="wp929587"> </a><p class="pParagraph">應(yīng)用程序開發(fā)者可以打開消息安全性，但并不是必須要這樣做。消息安全性可以由系統(tǒng)管理員設(shè)置，從而確保所有 Web 服務(wù)的安全；或者由應(yīng)用程序部署者設(shè)置，這適用于綁定到應(yīng)用程序的提供者或保護(hù)策略與綁定到容器的提供者或保護(hù)策略不同的情況。</p><a name="wp929589"> </a><p class="pParagraph">應(yīng)用程序開發(fā)者或匯編者負(fù)責(zé)：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp929591"> </a><div class="pSmartList1"><li>確定應(yīng)用程序是否需要特定于應(yīng)用程序的消息保護(hù)策略。如果需要，則確保所需策略在應(yīng)用程序匯編時(shí)指定，這可以通過與應(yīng)用程序部署者溝通來完成。</li></div></ul></div><a name="wp929595"> </a><h4 class="pHeading3">關(guān)于安全令牌和安全機(jī)制</h4><a name="wp929597"> </a><p class="pParagraph">WS-Security 規(guī)范為使用安全令牌來驗(yàn)證和加密 SOAP Web 服務(wù)消息提供了可擴(kuò)展機(jī)制?？梢允褂门c Application Server 一起安裝的 SOAP 層消息安全性提供者來選取用戶名/密碼和 X509 證書安全令牌，以驗(yàn)證和加密 SOAP Web 服務(wù)消息。選取其他安全令牌（包括 SAML 斷言）的附加提供者將與 Application Server 的后續(xù)版本一起安裝。</p><a name="wp929599"> </a><h5 class="pHeading4">關(guān)于用戶名令牌</h5><a name="wp929601"> </a><p class="pParagraph">Application Server 使用 SOAP 消息中的<em class="cEmphasis">用戶名令牌</em>來建立消息<em class="cEmphasis">發(fā)件人</em>的驗(yàn)證標(biāo)識(shí)。包含用戶名令牌（在嵌入式密碼中）的消息的收件人通過確認(rèn)發(fā)件人是否知道用戶的秘密（即密碼），來驗(yàn)證消息發(fā)件人是否為經(jīng)過授權(quán)的用戶（在令牌中標(biāo)識(shí)）。</p><a name="wp929607"> </a><p class="pParagraph">使用用戶名令牌時(shí)，必須在 Application Server 中配置有效的用戶數(shù)據(jù)庫。有關(guān)該主題的更多信息，請(qǐng)參閱“<a  href="security.html#wp527965" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527965">編輯區(qū)域</a>”。</p><a name="wp929609"> </a><h5 class="pHeading4">關(guān)于數(shù)字簽名</h5><a name="wp929611"> </a><p class="pParagraph">Application Server 使用 XML 數(shù)字簽名將驗(yàn)證標(biāo)識(shí)綁定到消息<em class="cEmphasis">內(nèi)容</em>中?？蛻魴C(jī)使用數(shù)字簽名來建立它們的呼叫者標(biāo)識(shí)，其方法與使用傳輸層安全性時(shí)用基本驗(yàn)證或 SSL 客戶機(jī)證書驗(yàn)證建立呼叫者標(biāo)識(shí)的方法相似。消息收件人將檢驗(yàn)數(shù)字簽名以驗(yàn)證消息內(nèi)容的源（可能與消息的發(fā)件人不同）。</p><a name="wp929617"> </a><p class="pParagraph">使用數(shù)字簽名時(shí)，必須在 Application Server 中配置有效的密鑰庫和信任存儲(chǔ)文件。有關(guān)該主題的更多信息，請(qǐng)參閱“<a  href="security.html#wp529850" tppabs="http://docs.sun.com/source/819-1553/security.html#wp529850">關(guān)于證書文件</a>”。</p><a name="wp929619"> </a><h5 class="pHeading4">關(guān)于加密</h5><a name="wp929621"> </a><p class="pParagraph">加密的目的是將數(shù)據(jù)修改為只有目標(biāo)讀者能理解的形式。加密過程通過用加密元素代替原始內(nèi)容來完成。像公共密鑰加密指出的那樣，可以使用加密來建立能夠閱讀消息的一方或多方的標(biāo)識(shí)。 </p><a name="wp929627"> </a><p class="pParagraph">使用加密時(shí)，必須先安裝支持加密的 JCE 提供者。有關(guān)該主題的更多信息，請(qǐng)參閱“<a  href="ws-security.html#wp929861" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929861">配置 JCE 提供者</a>”。</p><a name="wp929629"> </a><h5 class="pHeading4">關(guān)于消息保護(hù)策略</h5><a name="wp929631"> </a><p class="pParagraph">消息保護(hù)策略是針對(duì)消息處理請(qǐng)求和消息處理響應(yīng)而定義的，并根據(jù)對(duì)源和/或收件人驗(yàn)證的要求來進(jìn)行表達(dá)。源驗(yàn)證策略代表一個(gè)請(qǐng)求，即在消息中建立發(fā)送了消息或定義了消息內(nèi)容的實(shí)體的標(biāo)識(shí)，以使其可以由消息收件人進(jìn)行驗(yàn)證。收件人驗(yàn)證策略代表一個(gè)請(qǐng)求，即發(fā)送消息，以使可以接收消息的實(shí)體的標(biāo)識(shí)可以由消息發(fā)件人建立。提供者將應(yīng)用特定的消息安全性機(jī)制以使消息保護(hù)策略在 SOAP Web 服務(wù)消息的上下文中實(shí)現(xiàn)。</p><a name="wp929637"> </a><p class="pParagraph">在給容器配置提供者時(shí)，將定義請(qǐng)求和響應(yīng)的消息保護(hù)策略。特定于應(yīng)用程序的消息保護(hù)策略（以 Web 服務(wù)端口或操作的粒度級(jí)別）也可以在應(yīng)用程序或應(yīng)用程序客戶機(jī)的特定于 Sun 的部署描述符中進(jìn)行配置。在任何情況下，如果定義了消息保護(hù)策略，則客戶機(jī)請(qǐng)求和響應(yīng)的消息保護(hù)策略必須與服務(wù)器請(qǐng)求和響應(yīng)的消息保護(hù)策略相匹配（即二者相當(dāng)）。有關(guān)定義特定于應(yīng)用程序的消息保護(hù)策略的更多信息，請(qǐng)參閱 Developer's Guide 的 "<em class="cEmphasis">Securing Applications</em>" 一章。“<a  href="ws-security.html#wp930504" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930504">詳細(xì)信息</a>”中有指向該章的鏈接。</p><a name="wp929641"> </a><h4 class="pHeading3">消息安全性術(shù)語表</h4><a name="wp929647"> </a><p class="pParagraph">以下介紹了此文檔中所用到的術(shù)語。“<a  href="ws-security.html#wp929791" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929791">配置 Application Server 以實(shí)現(xiàn)消息安全性</a>”中也說明了這些概念。</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp929649"> </a><div class="pSmartList1"><li>驗(yàn)證層</li></div></ul></div><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp929651"> </a><p class="pParaIndent1"><em class="cEmphasis">驗(yàn)證層</em>是必須執(zhí)行驗(yàn)證處理的消息層。Application Server 將在 SOAP 層強(qiáng)制執(zhí)行 Web 服務(wù)消息安全性。</p></ul></div><div class="pSmartList1"><ul class="pSmartList1"><a name="wp929653"> </a><div class="pSmartList1"><li>驗(yàn)證提供者</li></div></ul></div><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp929655"> </a><p class="pParaIndent1">在此版本的 Sun Java Systems Application Server 中，Application Server 調(diào)用<em class="cEmphasis">驗(yàn)證提供者</em>來處理 SOAP 消息層安全性。</p><div class="pSmartList2"><ul class="pSmartList2"><a name="wp929657"> </a><div class="pSmartList2"><li><em class="cEmphasis">客戶端提供者</em>可以建立（通過簽名或用戶名/密碼）請(qǐng)求消息的源標(biāo)識(shí)和/或保護(hù)（通過加密）請(qǐng)求消息，從而使這些消息只能由其目標(biāo)收件人查看。客戶端提供者還可以將其容器建立為收到的響應(yīng)的已授權(quán)收件人（通過成功地解密），并驗(yàn)證響應(yīng)中的密碼或簽名來驗(yàn)證與此響應(yīng)相關(guān)聯(lián)的源標(biāo)識(shí)。在 Application Server 中配置的客戶端提供者可用于作為其他服務(wù)的客戶機(jī)來保護(hù)服務(wù)器端組件（即 Servlet 和 EJB）所發(fā)送的請(qǐng)求消息和所接收的響應(yīng)消息。</li></div><a name="wp929659"> </a><div class="pSmartList2"><li><em class="cEmphasis">服務(wù)器端提供者</em>將其容器建立為收到的請(qǐng)求的已授權(quán)收件人（通過成功地解密），并驗(yàn)證請(qǐng)求中的密碼或簽名以驗(yàn)證與該請(qǐng)求相關(guān)聯(lián)的源標(biāo)識(shí)。服務(wù)器端提供者還將建立（通過簽名或用戶名/密碼）響應(yīng)消息的源標(biāo)識(shí)和/或保護(hù)（通過加密）響應(yīng)消息，以使這些消息只能由其目標(biāo)收件人查看。<em style="font-style: normal" class="cEmphasis">服務(wù)器端提供者</em>僅由服務(wù)器端容器調(diào)用。</li></div></ul></div></ul></div><div class="pSmartList1"><ul class="pSmartList1"><a name="wp929661"> </a><div class="pSmartList1"><li>默認(rèn)服務(wù)器提供者</li></div></ul></div><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp929663"> </a><p class="pParaIndent1"><em class="cEmphasis">默認(rèn)服務(wù)器提供者</em>用于標(biāo)識(shí)服務(wù)器提供者，系統(tǒng)將調(diào)用該服務(wù)器提供者以用于尚未綁定特定服務(wù)器提供者的任何應(yīng)用程序。<em class="cEmphasis">默認(rèn)服務(wù)器提供者</em>有時(shí)被稱為<em class="cEmphasis">默認(rèn)提供者</em>。 </p></ul></div><div class="pSmartList1"><ul class="pSmartList1"><a name="wp929665"> </a><div class="pSmartList1"><li>默認(rèn)的客戶機(jī)提供者</li></div></ul></div><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp929667"> </a><p class="pParaIndent1"><em class="cEmphasis">默認(rèn)客戶機(jī)提供者</em>用于標(biāo)識(shí)客戶機(jī)提供者，系統(tǒng)將調(diào)用該客戶機(jī)提供者以用于尚未綁定特定客戶機(jī)提供者的任何應(yīng)用程序。</p></ul></div><div class="pSmartList1"><ul class="pSmartList1"><a name="wp929669"> </a><div class="pSmartList1"><li>請(qǐng)求策略</li></div></ul></div><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp929671"> </a><p class="pParaIndent1"><em class="cEmphasis">請(qǐng)求策略</em>定義與驗(yàn)證提供者執(zhí)行的請(qǐng)求處理關(guān)聯(lián)的驗(yàn)證策略要求。按照消息發(fā)件人的順序表達(dá)這些策略，從而使內(nèi)容之后出現(xiàn)的加密請(qǐng)求表示消息收件人將在驗(yàn)證簽名之前先要對(duì)消息進(jìn)行解密。</p></ul></div><div class="pSmartList1"><ul class="pSmartList1"><a name="wp929673"> </a><div class="pSmartList1"><li>響應(yīng)策略</li></div></ul></div><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp929675"> </a><p class="pParaIndent1"><em class="cEmphasis">響應(yīng)策略</em>定義與驗(yàn)證提供者執(zhí)行的響應(yīng)處理關(guān)聯(lián)的驗(yàn)證策略要求。按照消息發(fā)件人的順序表達(dá)這些策略，從而使內(nèi)容之后出現(xiàn)的加密請(qǐng)求表示消息收件人將在驗(yàn)證簽名之前先要對(duì)消息進(jìn)行解密。</p></ul></div><a name="wp929701"> </a><h3 class="pHeading2">確保 Web 服務(wù)的安全</h3><a name="wp929703"> </a><p class="pParagraph">通過將 SOAP 層消息安全性提供者和消息保護(hù)策略綁定到部署有應(yīng)用程序的容器或綁定到應(yīng)用程序提供的 Web 服務(wù)端點(diǎn)，來確保在 Application Server 中部署的 Web 服務(wù)的安全。通過將 SOAP 層消息安全性提供者和消息保護(hù)策略綁定到客戶機(jī)容器或綁定到由客戶機(jī)應(yīng)用程序聲明的可移植服務(wù)引用，從而在 Application Server 的客戶端容器中配置 SOAP 層消息安全性功能。 </p><a name="wp929705"> </a><p class="pParagraph">安裝了 Application Server 后，將在 Application Server 的客戶機(jī)和服務(wù)器端容器中配置 SOAP 層消息安全性提供者，這些提供者可由容器或容器中部署的各個(gè)應(yīng)用程序或客戶機(jī)進(jìn)行綁定使用。在安裝過程中，這些提供者將配置簡單的消息保護(hù)策略，即如果被綁定到容器或者綁定到容器中的應(yīng)用程序或客戶機(jī)，將導(dǎo)致所有請(qǐng)求和響應(yīng)消息中的內(nèi)容源由 XML 數(shù)字簽名進(jìn)行驗(yàn)證。</p><a name="wp929715"> </a><p class="pParagraph">可以采用 Application Server 的管理界面來綁定現(xiàn)有提供者以便供 Application Server 的服務(wù)器端容器使用，修改由提供者強(qiáng)制執(zhí)行的消息保護(hù)策略，或使用替代的消息保護(hù)策略來創(chuàng)建新的提供者配置。“<a  href="ws-security.html#wp929913" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929913">有關(guān)消息安全性的管理控制臺(tái)任務(wù)</a>”中定義了這些操作?？梢栽趹?yīng)用程序客戶機(jī)容器的 SOAP 消息層安全性配置上執(zhí)行類似的管理操作，如“<a  href="ws-security.html#wp930420" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930420">啟用客戶機(jī)應(yīng)用程序的消息安全性</a>”中所定義。</p><a name="wp929729"> </a><p class="pParagraph">默認(rèn)情況下，Application Server 中的消息層安全性處于禁用狀態(tài)。要配置 Application Server 的消息層安全性，請(qǐng)按照“<a  href="ws-security.html#wp929791" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929791">配置 Application Server 以實(shí)現(xiàn)消息安全性</a>”中列出的步驟進(jìn)行操作。如果您要使 Web 服務(wù)安全性用于保護(hù)在 Application Server 上部署的所有 Web 服務(wù)應(yīng)用程序，請(qǐng)按照“<a  href="ws-security.html#wp929961" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp929961">啟用消息安全性提供者</a>”和“<a  href="ws-security.html#wp930420" tppabs="http://docs.sun.com/source/819-1553/ws-security.html#wp930420">啟用客戶機(jī)應(yīng)用程序的消息安全性</a>”中的步驟進(jìn)行操作。</p><a name="wp929731"> </a><p class="pParagraph">完成以上步驟（可能包括重新啟動(dòng) Application Server）后，Web 服務(wù)安全性將應(yīng)用到 Application Server 中部署的所有 Web 服務(wù)應(yīng)用程序。</p><a name="wp929735"> </a><h4 class="pHeading3">