OASIS 规范中支持的功能

应用程序服务器支持“结构化信息标准促进组织 (OASIS) Web Service 安全性(WS-Security)”规范。

WebSphere® Application Server 支持这些 OASIS Web Services Security V 1.0 规范。
在 WebSphere Application Server V 6.1 Feature Pack for Web Services 和更高版本中,对 OASIS 标准的支持已更新为最新版本的 Web Service 安全性 (WS-Security) 规范和令牌。 Web Service 安全性 V1.1 提供了对签名的更好的安全性验证和加密 SOAP 头的标准方法,同时能够满足使用 Web Service 安全性 V1.1 中的功能部件的某些互操作性方案要求。
以下标准仅在 WebSphere Application Server V 7.0 和更高版本中受支持。

WS-SecurityPolicy 支持仅可用于 Web Services Metadata Exchange (WS-MetadataExchange) 方案,其中 WSDL 文件中嵌有声明。 有关更多信息,请阅读“WS-MetadataExchange 请求”主题。

2007 年,OASIS Web Service 安全性交换技术委员会 (WS-SX) 提出并通过了以下规范。 WebSphere Application Server V 7 和更高版本支持这些规范的部分。

OASIS: Web Services Security SOAP Message Security 1.0 和 1.1

下表显示了 WebSphere Application Server 版本 6 及更高版本中支持的 OASIS: Web Services Security: SOAP Message Security 1.0 和 1.1 规范的各个方面。

表 1. WebSphere Application Server中支持的 OASIS SOAP 消息安全性标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
安全性头
  • @S11:actor(对于中介)
  • @S11:mustUnderstand
  • @S12:mustUnderstand
  • @S12:role(S12 是使用 SOAP V1.2 时,有关 http://www.w3.org/2003/05/soap-envelope 的名称空间前缀)
安全性令牌
  • 用户名令牌(用户名和密码)
  • 二进制安全性令牌(X.509 和轻量级第三方认证 (LTPA))
  • 定制令牌
    • 其他二进制安全性令牌
    • XML 令牌
      注: WebSphere Application Server 未提供实现,但您可以将 XML 令牌与插件点配合使用。
令牌引用
  • 直接引用
  • 关键标识
  • 键名称
  • 嵌入引用
特征符 签名确认
签名算法
  • 摘要
    SHA1
    http://www.w3.org/2000/09/xmldsig#sha1
    SHA256
    http://www.w3.org/2001/04/xmlenc#sha256
    SHA512
    http://www.w3.org/2001/04/xmlenc#sha512
  • MAC
    HMAC-SHA1
    http://www.w3.org/2000/09/xmldsig#hmac-sha1
  • 特征符
    具有 SHA1 的 DSA
    http://www.w3.org/2000/09/xmldsig#dsa-sha1

    如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,请不要使用此算法

    具有 SHA1 的 RSA
    http://www.w3.org/2000/09/xmldsig#rsa-sha1
  • 规范化
    规范 XML(具有注释)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315#WithComments
    规范 XML(不具有注释)
    http://www.w3.org/TR/2001/REC-xml-c14n-20010315
    专用 XML 规范化(具有注释)
    http://www.w3.org/2001/10/xml-exc-c14n#WithComments
    Exclusive XML canonicalization(无注释)
    http://www.w3.org/2001/10/xml-exc-c14n#
  • 转换
    STR 转换
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#STR-Transform
    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soapmessage- security-1.0#STR-Transform
    XPath
    http://www.w3.org/TR/1999/REC-xpath-19991116
    如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用原始的 XPATH 变换。
    注: 在引用SECURE_包络中未包含来自 SIGNATURE 中的 ds: Reference 类型为标识的属性的元素时,必须使用 XPATH 过滤器 2.0 变换 http://www.w3.org/2002/06/xmldsig-filter2
    被包络的签名
    http://www.w3.org/2000/09/xmldsig#enveloped-signature
    XPath Filter2
    http://www.w3.org/2002/06/xmldsig-filter2
    注: 在引用SECURE_包络中未包含来自 SIGNATURE 中的 ds: Reference 的标识属性类型的元素时,必须使用 XPATH 过滤器 2.0 变换 http://www.w3.org/2002/06/xmldsig-filter2
    解密转换
    http://www.w3.org/2002/07/decrypt#XML
仅用于 JAX-RPC 已签署签名的部分
  • WebSphere Application Server 关键字:
    • body,它签署 SOAP 消息主体
    • timestamp,它签署所有时间戳记
    • securitytoken,它签署所有安全性令牌
    • dsigkey,它签署签名密钥
    • enckey,它签署加密密钥
    • messageid,它签署 WS-Addressing 中的 wsa :MessageID 元素。
    • to,它签署 WS-Addressing 中的 wsa:To 元素
    • action,它签署 WS-Addressing 中的 wsa:Action 元素
    • relatesto,它签署 WS-Addressing 中的 wsa:RelatesTo 元素

      wsa 是 http://schemas.xmlsoap.org/ws/2004/08/addressing 的名称空间前缀

    • wscontext,它指定 SOAP 头的 WS-Context 头。
    • wsafrom,它指定 SOAP 头中的 <wsa:From> WS-Addressing From 元素。
    • wsareplyto,它指定 SOAP 头中的 <wsa:ReplyTo> WS-Addressing ReplyTo 元素。
    • wsafaultto,它指定 SOAP 头中的 <wsa:FaultTo> WS-Addressing FaultTo 元素。
    • wsaall,它指定 SOAP 头中的所有 WS-Addressing 元素。
  • 用于选择 SOAP 消息中的 XML 元素的 XPath 表达式。 有关更多信息,请参阅 http://www.w3.org/TR/1999/REC-xpath-19991116
仅用于 JAX-WS 签名消息部分
  • Body(它签署 SOAP 消息主体)
  • Header(它签署主要 SOAP 头内的一个或多个 SOAP 头)
  • 用于选择 SOAP 消息中的 XML 元素的 XPath 表达式。
    • 有关更多信息,请参阅 http://www.w3.org/TR/1999/REC-xpath-19991116。
加密 EncryptedHeader 元素
加密算法
重要信息: 您的来源国可能对加密软件的进口,拥有,使用或再出口到另一个国家或地区有限制。 下载或使用未限制的策略文件之前,必须检查您的国家或地区的法律、规章以及对加密软件进行进口、拥有、使用和再次出口的相关政策,从而确定是否可以使用该文件。
  • 数据加密
    • CBC 中的三重 DES:http://www.w3.org/2001/04/xmlenc#tripledes-cbc
    • CBC 中的 AES128:http://www.w3.org/2001/04/xmlenc#aes128-cbc
    • CBC 中的 AES192:http://www.w3.org/2001/04/xmlenc#aes192-cbc

      此算法需要不受限制的 JCE 策略文件。 有关更多信息,请参阅 加密信息配置设置: 消息部件中的密钥加密算法描述。

      如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用 192 位数据加密算法。

    • CBC 中的 AES256:http://www.w3.org/2001/04/xmlenc#aes256-cbc

      此算法需要不受限制的 JCE 策略文件。 有关更多信息,请参阅 加密信息配置设置: 消息部件中的密钥加密算法描述。

  • 密钥加密
    • 密钥传输(公用密钥密码术)
      • http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.
        注:
        • 当通过软件开发包 (SDK) V1.4 运行时,受支持密钥传输算法列表不包括此算法。 通过 SDK V1.5 运行时,受支持密钥传输算法列表将包含此算法。
        • 使用符合联邦信息处理标准 (FIPS) 的 Java™ 密码引擎不支持此传输算法。
      • RSA V1.5:http://www.w3.org/2001/04/xmlenc#rsa-1_5
    • 对称密钥合并(专用密钥密码术)
      • 三重 DES 密钥合并:http://www.w3.org/2001/04/xmlenc#kw-tripledes
      • AES 密钥合并 (aes128):http://www.w3.org/2001/04/xmlenc#kw-aes128
      • AES 密钥合并 (aes192):http://www.w3.org/2001/04/xmlenc#kw-aes192

        此算法需要不受限制的 JCE 策略文件。 有关更多信息,请参阅 加密信息配置设置: 消息部件中的密钥加密算法描述。

        如果要让所配置的应用程序与基本安全概要文件 (BSP) 一致,那么不要使用 192 位数据加密算法。

      • AES 密码合并 (aes256):http://www.w3.org/2001/04/xmlenc#kw-aes256

        此算法需要不受限制的 JCE 策略文件。 有关更多信息,请参阅 加密信息配置设置: 消息部件中的密钥加密算法描述。

  • Manifests-xenc 是 http://www.w3.org/TR/xmlenc-core 的名称空间前缀
    • xenc:ReferenceList
    • xenc:EncryptedKey

高级加密标准 (AES) 能够比三重 DES(数据加密标准)提供更强大和性能更高的对称密钥加密。 因此,建议您将 AES 用于对称密钥加密(如果可能)。
仅用于 JAX-RPC 的加密消息部分
  • WebSphere Application Server 关键字
    • bodycontent,用来对 SOAP 主体内容进行加密
    • usernametoken,用来对用户名令牌进行加密
    • digestvalue,用来对数字签名的摘要值进行加密
    • signature,用来对整个数字签名进行加密
    • wscontextcontent,它对 SOAP 头的 WS-Context 头中的内容进行加密。
  • 用来选择 SOAP 消息中的 XML 元素的 XPath 表达式
    • XML 元素
    • XML 元素内容
仅用于 JAX-WS 的加密消息部分
  • Body(它对 SOAP 消息主体内容进行加密)
  • Header(它对主要 SOAP 头内的一个或多个 SOAP 头进行加密,并生成 EncryptedHeader 元素)
  • 用于选择 SOAP 消息中的 XML 元素的 XPath 表达式
    • 有关更多信息,请参阅 http://www.w3.org/TR/1999/REC-xpath-19991116。
时间戳记
  • 在 Web Service 安全性头中
  • WebSphere Application Server 已扩展为允许您将时间戳记插入到其他元素中,以便可以确定这些元素的年龄。
错误处理 SOAP 故障
  • 具有故障代码的新的 failure SOAP 故障
  • 已添加 The message has expired 文本

OASIS:Web Service 安全性 UsernameToken 概要文件 1.0

下表显示了 WebSphere Application Server中支持的 OASIS: Web Services Security Username Token Profile 1.0 规范的各个方面。

表 2. WebSphere Application Server中支持的 OASIS Username Token Profile V1.0 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
密码类型 文本
令牌引用 直接引用

OASIS:Web Service 安全性 UsernameToken 概要文件 1.1

下表显示了 WebSphere Application Server中支持的 OASIS: Web Services Security Username Token Profile 1.1 规范的各个方面。 未列示先前 Web Services Security UsernameToken Profile 1.0 支持的项,但它们仍然受支持,除非另有声明。

表 3. WebSphere Application Server中支持的 OASIS Username Token Profile V1.1 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
密码类型 文本
令牌引用 直接引用

OASIS: Web Service 安全性 X.509 Certificate Token Profile 1.0

下表显示了在 WebSphere Application Server 版本 6 和更高版本中支持的 OASIS: Web Service 安全性 X.509 证书令牌概要文件规范的各个方面。

表 4. WebSphere Application Server中支持的 OASIS X.509 Certificate Token V1.0 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型
  • X.509 V3:单个证书

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3

  • X.509 V3:不具有证书撤销列表 (CRL) 的 X509PKIPathv1

    http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509PKIPathv1

  • X.509 V3: PKCS7,有或没有 CRL。
令牌引用
  • 密钥标识 - 主体集密钥标识
  • 直接引用
  • 定制引用 - 发布者名称和序列号

OASIS: Web Service 安全性 X.509 Certificate Token Profile 1.1

下表显示了 WebSphere Application Server中支持的 OASIS: Web Services Security X.509 Certificate Token Profile 1.1 规范的各个方面。 未列示先前 Web Services Security X.509 Certificate Token Profile 1.0 支持的项,但它们仍然受支持,除非另有声明。

表 5. WebSphere Application Server中支持的 OASIS X.509 Certificate Token V1.1 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型 X.509 V1:单个证书
令牌引用 密钥标识 - 主体集密钥标识
  • 只能引用 X.509v3 证书
  • 可使用 <wsse:KeyIdentifier> 元素的 http://docs.oasis-open.org/wss/oasis-wss-soap-message-security-1.1#ThumbprintSHA1 属性指定指定证书的缩略图。

OASIS: Web Service 安全性 Kerberos 令牌概要文件1.1

下表显示了 WebSphere Application Server中支持的 OASIS: Web Services Security Kerberos Token Profile 1.1 规范的各个方面。

表 6. WebSphere Application Server中支持的 OASIS Kerberos 令牌概要文件标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型
  • GSS_API Kerberos v5 令牌
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ
  • GSS_API Kerberos v5 token per RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ1510
  • GSS_API Kerberos v5 token per RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ4120
  • Kerberos v5 令牌
    http://docs.oasis-open.org/wss/oasiswss- kerberos-token-profile-1.1#Kerberosv5_AP_REQ
  • Kerberos v5 token per RFC1510
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ1510
  • Kerberos v5 token per RFC4120
    http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#Kerberosv5_AP_REQ412
令牌引用
  • 安全性令牌引用
  • 密钥标识,它在消耗初始 Kerberos V5 令牌之后使用
  • 基于 Kerberos 密钥的派生密钥令牌

OASIS: Web Services Security WS-Secure Conversation Draft 和 V1.3

下表列出了 WebSphere Application Server 6.1 Web 服务功能包及更高版本支持的 OASIS: WS-SecureConversation 规范的各个方面。 WebSphere Application Server 7.0 及更高版本中提供了对规范的 1.3 版本的支持。

表 7. WebSphere Application Server中支持的 OASIS SecureConversation 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
令牌类型
  • 安全上下文令牌草稿版本:http://schemas.xmlsoap.org/ws/2005/02/sc/sct
  • 安全上下文令牌 V1.3:http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
令牌引用 直接引用
安全上下文的建立 由嵌入在 WebSphere Application Server中的安全性令牌服务创建的安全上下文令牌。
更新上下文 令牌即将到期时的自动更新。
取消上下文 显式的取消请求支持。
派生的密钥 以下信息用于从安全上下文中派生使用共享密钥的密钥:
  • /wsc:DerivedKeyToken/wsse:SecurityTokenReference
  • /wsc:DerivedKeyToken/wsc:Label
  • /wsc:DerivedKeyToken/wsc:Nonce
  • /wsc:DerivedKeyToken/wsc:Length
错误处理 SOAP 故障包括:
  • wsc:BadContextToken
  • wsc:UnsupportedContextToken
  • wsc:RenewNeeded
  • wsc:UnableToRenew

OASIS: Web Services Security WS-Trust V1.0 草稿和 V1.3

下表显示了 WebSphere Application Server V 6.1 Feature Pack for Web Services 及更高版本中支持的 OASIS: Web Services Security: WS-Trust V 1.0 Draft and Version 1.3 规范的各个方面。

表 8. WebSphere Application Server中支持的 OASIS 信任 V1.0 和 V1.3 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
名称空间 http://schemas.xmlsoap.org/ws/2005/02/trust
请求头 /wsa:Action
有效选项包括:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Validate
请求元素和属性

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • 有效选项包括:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Issue
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Renew
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Cancel
    • http://schemas.xmlsoap.org/ws/2005/02/trust/Validate
/wst:RequestSecurityToken/wst:TokenType
  • 有效选项包括:
    • 有关 http://schemas.xmlsoap.org/ws/2005/02/sc/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
响应头 /wsa:Action
有效选项包括:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Renew
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Cancel
  • http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Validate
响应元素和属性

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status /wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • 有效响应包括:
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/valid
    • http://schemas.xmlsoap.org/ws/2005/02/trust/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
错误处理

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew
表 9。 WebSphere Application Server中支持的 OASIS Trust V1.3 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面受支持。
支持的主题 支持的特定方面
名称空间 http://docs.oasis-open.org/ws-sx/ws-trust/200512
请求头 /wsa:Action
有效选项包括:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RST/Validate
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
请求元素和属性

/wst:RequestSecurityToken

/wst:RequestSecurityToken/@Context

/wst:RequestSecurityToken/wst:RequestType
  • 有效选项包括:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Issue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Cancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Validate
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchIssue
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchRenew
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchCancel
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/BatchValidate
/wst:RequestSecurityToken/wst:TokenType
  • 有效选项包括:
    • 有关 http://docs.oasis-open.org/ws-sx/ws-secureconversation/200512/sct
      • /wst:RequestSecurityToken/wsp:AppliesTo
      • /wst:RequestSecurityToken/wst:Entropy
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret
      • /wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type
    • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/Nonce
      • /wst:RequestSecurityToken/wst:Lifetime
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Created
      • /wst:RequestSecurityToken/wst:Lifetime/wsu:Expires
      • /wst:RequestSecurityToken/wst:KeySize
      • /wst:RequestSecurityToken/wst:KeyType
    • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
      • /wst:RequestSecurityToken/wst:RenewTarget
      • /wst:RequestSecurityToken/wst:Renewing
      • /wst:RequestSecurityToken/wst:Renewing/@Allow
      • /wst:RequestSecurityToken/wst:Renewing/@OK
      • /wst:RequestSecurityToken/wst:CancelTarget
      • /wst:RequestSecurityToken/wst:ValidateTarget
      • /wst:RequestSecurityToken/wst:Issuer
响应头 /wsa:Action
有效选项包括:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/ValidateFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/IssueFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/CancelFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/RenewFinal
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTRC/ValidateFinal
响应元素和属性

/wst:RequestSecurityTokenResponse

/wst:RequestSecurityTokenResponse/@Context

/wst:RequestSecurityTokenResponse/wst:TokenType

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wsp:AppliesTo

/wst:RequestSecurityTokenResponse/wst:RequestedSecurityToken

/wst:RequestSecurityTokenResponse/wst:RequestedAttachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedUnattachedReference

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken

/wst:RequestSecurityTokenResponse/wst:Entropy

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret

/wst:RequestSecurityTokenResponse/wst:Entropy/wst:BinarySecret/@Type

/wst:RequestSecurityTokenResponse/wst:Lifetime

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Created

/wst:RequestSecurityTokenResponse/wst:Lifetime/wsu:Expires

/wst:RequestSecurityTokenResponse/wst:RequestedProofToken/wst:ComputedKey

/wst:RequestSecurityTokenResponse/wst:KeySize

/wst:RequestSecurityTokenResponse/wst:Renewing

/wst:RequestSecurityTokenResponse/wst:Renewing/@Allow

/wst:RequestSecurityTokenResponse/wst:Renewing/@OK

/wst:RequestSecurityTokenResponse/wst:RequestedTokenCancelled

/wst:RequestSecurityTokenResponse/wst:Status

/wst:RequestSecurityTokenResponse/wst:Status/wst:Code
  • 有效响应包括:
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/valid
    • http://docs.oasis-open.org/ws-sx/ws-trust/200512/status/invalid

/wst:RequestSecurityTokenResponse/wst:Status/wst:Reason
错误处理

wst:InvalidRequest

wst:FailedAuthentication

wst:RequestFailed

wst:InvalidSecurityToken

wst:AuthenticationBadElements

wst:BadRequest

wst:ExpiredData

wst:InvalidTimeRange

wst:InvalidScope

wst:RenewNeeded

wst:UnableToRenew

WebSphere Application Server 不支持的功能

以下列表显示了 OASIS 规范, OASIS 草稿和其他建议中支持但不受 WebSphere Application Server V 6 及更高版本支持的功能:
  • Web Service 安全性:带附件的 SOAP 消息 (SwA) 概要文件 1.0
    注: 使用 JAX-WS 编程模型时,支持保护 SOAP 消息传输优化机制 (MTOM) 连接。 有关更多信息,请参阅“启用 JAX-WS Web Service 的 MTOM”主题。
  • XrML 令牌概要文件
  • XML 包络数字签名
  • XML 包络数字加密
  • WebSphere Application Server 不支持以下 WS-SecureConversation 功能:
    • 不支持用于建立安全上下文的两种方法:1) 由通信方之一创建且通过消息传播的安全上下文令牌和 2) 通过导航或交换创建的安全上下文令牌。
    • SCT 传播
    • 修订安全上下文
  • 不支持以下用于数字签名的变换算法:
    • XSLT:http://www.w3.org/TR/1999/REC-xslt-19991116
    • SOAP 消息规范化

      请参阅 SOAP V 1.2 消息规范化 以获取信息,例如,除去了带有 mustUnderstand=false 的空头或头条目等。

    • 解密转换
  • 不支持以下用于加密的密钥协议算法:
  • 不支持以下用于加密的规范算法,其在 XML 加密规范中是可选的:
    • 带有或不带有注释的规范 XML
    • 具有或不具有注释的专用 XML 规范化
  • 不支持 DSA 数字签名。
  • 不支持预先同意的对称密钥数据加密。
  • 不支持审计数字签名的不可抵赖性。
  • 在 Username Token 概要文件规范的两个版本中,都不支持摘要密码类型。
  • 在 Username Token V1.1 概要文件规范中,不支持基于密码派生密钥。

WS-Trust V1.0 草稿和 V1.3 所不支持的功能

下表显示了 在 WebSphere Application Server V 6.1 Feature Pack for Web Services 和更高版本中支持的 OASIS: Web Services Security: WS-Trust V 1.0 草稿和 V 1.3 规范的各个方面。

表 10. 在 WebSphere Application Server中不受支持的 OASIS 信任 V1.0 和 V1.3 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面不受支持。
不受支持的主题 不受支持的特定方面
元素和属性

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

不受支持的请求选项:
  • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/AsymmetricKey 和 http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • 有关 http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
响应元素和属性

/wst:RequestSecurityTokenResponseCollection

/wst:RequestSecurityTokenResponseCollection/wst:RequestSecurityTokenResponse
表 11. 在 WebSphere Application Server中不受支持的 OASIS Trust V1.3 标准的各个方面。 使用下表来确定 OASIS 标准的哪些方面不受支持。
不受支持的主题 不受支持的特定方面
元素和属性

/wst:RequestSecurityToken/wst:Entropy/wst:BinarySecret/@Type

不受支持的请求选项:
  • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/AsymmetricKey 和 http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
    • /wst:RequestSecurityToken/wst:Claims
    • /wst:RequestSecurityToken/wst:AllowPostdating
    • /wst:RequestSecurityToken/wst:OnBehalfOf
    • /wst:RequestSecurityToken/wst:AuthenticationType
    • /wst:RequestSecurityToken/wst:KeyType
  • 有关 http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey 和 http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
    • /wst:RequestSecurityToken/wst:SignatureAlgorithm
    • /wst:RequestSecurityToken/wst:EncryptionAlgorithm
    • /wst:RequestSecurityToken/wst:CanonicalizationAlgorithm
    • /wst:RequestSecurityToken/wst:ComputedKeyAlgorithm
    • /wst:RequestSecurityToken/wst:Encryption
    • /wst:RequestSecurityToken/wst:ProofEncryption
    • /wst:RequestSecurityToken/wst:UseKey
    • /wst:RequestSecurityToken/wst:UseKey/@Sig
    • /wst:RequestSecurityToken/wst:SignWith
    • /wst:RequestSecurityToken/wst:EncryptWith
    • /wst:RequestSecurityToken/wst:DelegateTo
    • /wst:RequestSecurityToken/wst:Forwardable
    • /wst:RequestSecurityToken/wst:Delegatable
    • /wst:RequestSecurityToken/wsp:Policy
    • /wst:RequestSecurityToken/wsp:PolicyReference
响应头

/wsa:Action

不受支持的响应:
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Issue
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Renew
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Cancel
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/RSTR/Validate