第十八章 添加时间戳和用户名令牌
本主题讨论时间戳和用户令牌。
概述
时间戳是 WS-Security
标头中的 <Timestamp>
安全元素。严格来说,时间戳不是安全元素。但是,可以使用它来避免重放攻击。时间戳对于自定义日志记录也很有用。
用户名令牌是 WS-Security
标头中的 <UsernameToken>
安全元素;它带有用户名。它还可以带有相应的密码(可选为摘要形式)。通常使用它进行身份验证,即允许 IRIS Web
客户端使用需要密码的 Web
服务。
注意:默认情况下,WS-Security
标头元素以明文形式发送。要保护 <UsernameToken>
中的密码,应该使用 SSL/TLS
、加密 <UsernameToken>
(如其他地方所述),或者使用这些技术的某种组合。