プロジェクトでaxis2を使用してWebサービス(サーバー側)を実装しています。既存のWebサービスでWS-Securityを有効にしたい。apacheramapartモジュールが私たちのニーズに合っているかどうかを評価しています。要件は次のとおりです。基本的に、暗号化、署名、トークン生成機能を提供する社内のセキュリティフレームワークがあります。社内のセキュリティフレームワークでは、基本的にXML形式の一連の構成が必要であり、さまざまなセキュリティ操作を実行するためにさまざまなAPIを公開しています。
上記の環境で、私は3つの可能な解決策を考えることができます:-
社内のセキュリティフレームワークを中心にaxis2モジュールを開発し、セキュリティフェーズで.marファイルとしてインストールできます。だから私はapache城壁を使用しません。ただし、このアプローチの問題は、ws-securityポリシーを使用してセキュリティアサーションを指定し、着信セキュリティトークンが効果的なポリシーに準拠していることを確認できないことです。それは、城壁がすでに行っていることを車輪の再発明するようなものです。
apacheの城壁は、セキュリティ運用のためのapachewss4jモジュールへの呼び出しを強調していると思います。apache wss4jモジュールは、サードパーティのセキュリティプロバイダーを登録する方法を提供すると思います(CryptoProviderインターフェイスを実装することにより)。これが実行可能で実行可能な解決策であるかどうかはわかりません。提案してください。
Ws-securityポリシーでは、カスタムトークンを使用できます。このカスタムトークンは、社内のセキュリティフレームワークを使用して構築できます。つまり、基本的には、apacherampartモジュールを使用してws-securityポリシーを作成し、セキュリティフレームワークを使用してカスタムトークンを開発することができます。しかし、私はインターネット上でこれに関する助けを見つけることができませんでした。誰かが例を手伝ってくれませんか。
他の提案も大歓迎です。