Các dịch vụ Web Java: Sử dụng độ chi tiết của WS-Security Áp dụng WS-Security ở mức hoạt động hoặc mức thông báo

Dennis Sosnoski, Nhà tư vấn, Sosnoski Software Solutions, Inc. Tóm tắt: WS-Security (An ninh dịch vụ Web) cho các dịch vụ Web SOAP không nhất thiết phải là một đề xuất hoặc tất cả hoặc không gì cả. Bằng cách cấu hình WS-Security tại mức hoạt động hoặc mức thông diệp, bạn có thể áp dụng một mức độ bảo vệ thích hợp cho mọi trao đổi, giảm hoặc loại bỏ chi phí WS-Security cho các hoạt động không cần bảo vệ đầy đủ. Dennis Sosnoski tiếp tục loạt bài các dịch vụ Web Java của mình bằng việc xem...
Nội dung trích xuất từ tài liệu:
Các dịch vụ Web Java: Sử dụng độ chi tiết của WS-Security Áp dụng WS-Security ở mức hoạt động hoặc mức thông báo Các dịch vụ Web Java: Sử dụng độ chi tiết của WS-SecurityÁp dụng WS-Security ở mức hoạt động hoặc mức thông báoDennis Sosnoski, Nhà tư vấn, Sosnoski Software Solutions, Inc.Tóm tắt: WS-Security (An ninh dịch vụ Web) cho các dịch vụ Web SOAP khôngnhất thiết phải là một đề xuất hoặc tất cả hoặc không gì cả. Bằng cách cấu hìnhWS-Security tại mức hoạt động hoặc mức thông diệp, bạn có thể áp dụng một mứcđộ bảo vệ thích hợp cho mọi trao đổi, giảm hoặc loại bỏ chi phí WS-Security chocác hoạt động không cần bảo vệ đầy đủ. Dennis Sosnoski tiếp tục loạt bài các dịchvụ Web Java của mình bằng việc xem xét WS-Security chi tiết mịn hơn trong WebServices Description Language (WSDL-Ngôn ngữ mô tả dịch vụ Web) sử dụngAxis2 và Rampart của ApacheTrong các môi trường dịch vụ Web đơn giản, các máy khách kết nối trực tiếp đếncác máy chủ và các máy chủ trực tiếp thực hiện tất cả các xử lý cần thiết cho yêucầu. Như các bạn đã tìm hiểu trong bài viết trước của loạt bài này, các kết nối anninh SSL có thể cung cấp an ninh tuyệt vời cho hầu hết các mục đích trong kiểumôi trường này. Tuy nhiên, môi trường phức tạp hơn đang ngày càng phổ biến,trong đó nhiều tầng của các máy chủ tham gia vào việc xử lý một yêu cầu. Toànbộ ý tưởng của cách dàn dựng (orchestration) dịch vụ đang ngày càng phổ biếntrong nhiều môi trường doanh nghiệp, là dựa vào cách tiếp cận này, như là kháiniệm về kiến trúc hướng dịch vụ (SOA). Trong các kiểu môi trường này, sự lựachọn WS-Security mạnh hơn là cần thiết.Về loạt bài nàyCác dịch vụ Web là một phần chủ yếu của vai trò công nghệ Java trong điện toándoanh nghiệp. Trong loạt bài viết này, nhà tư vấn XML và các dịch vụ WebDennis Sosnoski trình bày các khung công tác và công nghệ chính rất quan trọngvới các nhà phát triển Java khi sử dụng các dịch vụ Web. Hãy theo dõi loạt bài nàyđể cập nhật những phát triển mới nhất trong lĩnh vực này và hiểu được bạn có thểsử dụng chúng để hỗ trợ cho các dự án lập trình của bạn như thế nào.WS-Security đòi hỏi chi phí hiệu năng lớn, như đã thảo luận trong bài viết trước.Một cách để giảm chi phí đó là thiết lập WS-SecurityPolicy (Chính sách an ninhdịch vụ Web) thích hợp cho từng hoạt động riêng lẻ hoặc thậm chí mỗi thông điệpđược một dịch vụ xác định, hơn là áp dụng chỉ một WS-SecurityPolicy với toàn bộdịch vụ. Sử dụng độ chi tiết mịn hơn của WS-Security đòi hỏi phải xem xét nhiềuhơn so với cách tiếp cận một-kích-cỡ-vừa-với-tất-cả, nhưng khi được áp dụngđúng cách nó có thể làm giảm chi phí hiệu năng cho các hoạt động thường được sửdụng mà không làm suy yếu việc bảo đảm an ninh của các hoạt động cần đến nó.Định nghĩa một chính sáchỨng dụng ví dụ được sử dụng cho bài viết này chính là ứng dụng đã sử dụng trongAxis2 WS-Security basics (Những điều cơ bản về An ninh dịch vụ Web củaAxis2) và Axis2 WS-Security signing and encryption (Ký và mã hoá trong Anninh dịch vụ Web của Axis2) — một dịch vụ quản lý thư viện đơn giản - (Xem Tảivề để nhận được mã nguồn đầy đủ cho bài này). Dịch vụ này định nghĩa ba hoạtđộng: getBook để lấy ra các chi tiết về một cuốn sách cụ thể được nhận diện bằng  mã số sách tiêu chuẩn quốc tế (ISBN - International Standard Book Number). getBooksByType để lấy ra các chi tiết cho tất cả các cuốn sách thuộc một  kiểu cụ thể. addBook để thêm một cuốn sách mới vào thư viện. Để đưa ra một số tính đa dạng thú vị trong việc bảo đảm an ninh, b ài viết này giảđịnh rằng: Hoạt động getBook có thể trưng ra một cách an toàn cho bất cứ ai (không  có bảo mật). getBooksByType cần một sự cấp phép (vì thế đòi hỏi một  UsernameToken). Hoạt động addBook cần một lịch sử hoạt động để lần theo vết ai đã gửi mỗi  cuốn sách (được thực hiện bằng cách ký các thông báo yêu cầu).Trong các bài viết trước, bạn đã thấy cách cấu hình Axis2/Rampart bằng cách gắnmột tài liệu WS-SecurityPolicy vào cá thể org.apache.axis2.client.ServiceClient (ởphía máy khách) hoặc bằng cách nhúng tài liệu chính sách trong tệp cấu hình dịchvụ services.xml (ở phía máy chủ). Cách tiếp cận này làm việc được và có thể cóích trong việc thử nghiệm, nhưng đối với việc chạy sản xuất, tốt nhất là kết hợptrực tiếp WS-SecurityPolicy với một định nghĩa dịch vụ bằng cách nhúng nó trongmột tài liệu WSDL. WS-Policy và WS-SecurityPolicy được thiết kế để hỗ trợ kiểunhúng này, với các tham chiếu từ các định nghĩa ,/, hoặc// được sử dụng để nhận biếtchính sách thích hợp được áp dụng cho liên kết, hoạt động hoặc thông báo đó.Axis2 1.4.1 đã triển khai thực hiện xử lý sơ bộ cho các chính sách được nhúngtrong WSDL và trển khai thực hiện này đã được cải thiện trong mã của bản pháthành Axis2 1.5 hiện tại. Để giải thích việc sử dụng chính sách trong WSDL, bàiviết này sử dụng mã của bản phát hành Axis2 1.5 k ...