我在我的项目中使用axis2实现了webservice(服务器端)。我们希望在现有的 Web 服务中启用 WS-security。我们正在评估 apache ramapart 模块是否符合我们的需求。这是我们的要求:基本上我们有提供加密、签名和令牌生成功能的内部安全框架。我们内部的安全框架基本上需要一组 XML 形式的配置,并且它公开了各种 API 来执行各种安全操作。
现在有了上述环境,我可以想到三种可能的解决方案:-
我可以围绕内部安全框架开发一个axis2模块,并在安全阶段将其安装为.mar文件。所以我不会使用 apache 壁垒。但是这种方法的问题是我不能使用 ws-security 策略来指定安全断言并确保传入的安全令牌符合有效的策略。这就像重新发明轮子,城墙已经在做。
我相信 apache armart 强调了对 apache wss4j 模块的安全操作调用。我相信 apache wss4j 模块提供了一种注册 3rd 方安全提供者的方法(通过实现 CryptoProvider 接口)。我不确定这是否可行且可行的解决方案。请建议。
Ws-security 策略允许使用自定义令牌。可以使用我们的内部安全框架构建此自定义令牌。所以基本上它使我们能够使用 apache 壁垒模块创建 ws-security 策略,并使用我们的安全框架开发自定义令牌。但我在互联网上找不到关于此的帮助。谁能帮忙举个例子。
也欢迎任何其他建议。