第一章 修改 Web 客户端

修改 Web 客户端

生成 Web 客户端类后，通常不需要编辑该类。相反，需要编写代码来创建该类的实例并提供客户端错误处理。本主题讨论了微调 Web 客户端的各种方法，可以通过修改 Web 客户端实例或（不太常见）修改生成的类来实现。

注意：不要创建生成的 Web 客户端类的子类。编译器不会生成正常运行所需的支持类，因此子类将无法使用。

禁用 Web 客户端的 Keep-Alive

默认情况下，如果重复使用 Web 客户端实例来发送多条请求消息，IRIS 会在一次 HTTP 传输中发送所有消息（使用 HTTP 1.1 保持活动连接）。具体来说，IRIS 保持 TCP/IP 套接字打开，这样 IRIS 就无需关闭并重新打开它。要禁用此保持活动行为，请执行以下操作之一：

第二十五章 添加数字签名

本主题介绍如何向 IRIS Web 服务和 Web 客户端发送的 SOAP 消息添加数字签名。

通常，会同时执行加密和签名。为简单起见，本主题仅介绍签名。有关结合加密和签名的信息，请参阅主题结合加密和签名。

主题使用派生密钥令牌进行加密和签名描述了向 SOAP 消息添加数字签名的另一种方法。

数字签名概述

可以使用数字签名来检测消息是否被篡改，或者简单地验证消息的某一部分是否确实由所列实体生成。与传统的手工签名一样，数字签名是对文档的附加，只有文档的创建者才能创建，并且不容易伪造。

IRIS 对 SOAP 消息的数字签名的支持基于 WS-Security 1.1。反过来，WS-Security 遵循 XML 签名规范。根据后者的规范，要对 XML 文档进行签名：

第三十八章 验证和解密入站消息 - 实例身份验证和 WS-Security

实例身份验证和 WS-Security

了解 IRIS 网络服务有两个独立的机制在起作用是很有用的：IRIS 服务器和网络服务代码。

• 在管理门户中，您可以为 Web 应用程序指定允许的身份验证模式，从而控制对 %Service_WebGateway 服务的访问。（有关详细信息，请参阅时间戳和用户名令牌示例。有关更多背景信息，请参阅 Web 应用程序。）如果您选择密码选项，则 Web 应用程序可以接受 IRIS 用户名/密码对；这称为实例身份验证。
• 除此之外，Web 服务还可以要求 IRIS 用户名/密码对。

这些机制协同工作如下：

第十章 创建和使用策略 - 在运行时添加证书

在运行时添加证书

如果 Web 服务或客户端必须以编程方式选择并包含证书，请使用以下过程：

1. 检索 %SYS.X509Credentials 的实例，如以编程方式检索凭据集中所述。

例如：

 set credset=##class(%SYS.X509Credentials).GetByAlias(alias,password)

或

第五十二章 File 输入 输出 - OPEN模式参数

OPEN 模式参数

可以通过以下两种方式之一指定 OPEN 模式参数
- 用引号字符括起来的字母代码字符串，如 “VRWN”。每个字母都指定一个参数。字母代码可以按任何顺序指定;因为 IRIS 按照从左到右的顺序执行它们，所以在某些情况下，字母代码之间的交互可能会决定首选顺序。
- 一系列 /keyword 参数，未加引号。这些参数用冒号分隔。关键字参数可以按任意顺序指定;因为 IRIS 以从左到右的顺序执行它们，所以在某些情况下，参数之间的交互可能会决定首选顺序。

指定字母代码参数和关键字参数的组合时，请先指定字母代码字符串，然后指定关键字参数，用冒号分隔。以下示例指定三个字母代码参数，后跟两个关键字参数，后跟 reclen 和 timeout 参数。

第六章 设置和其他常见活动 - 编辑 IRIS 凭证集

编辑 IRIS 凭证集

创建 IRIS 凭证集后，可以按如下方式编辑它：

1. 在管理门户中，选择系统管理 > 安全 > X.509 凭证。
2. 在凭证集表中，别名列的值用作标识符。对于要编辑的凭证集，请单击编辑。
3. 根据需要进行编辑。有关这些字段的信息，请参阅上一节。
4. 单击“保存”以保存更改。

无法更改凭证集的别名或证书；也无法添加、更改或删除关联的私钥。要进行此类更改，请创建新的凭证集。

通过编程方式检索凭证集

执行加密或签名时，必须指定要使用的证书。为此，可以选择 IRIS 凭证集。

当手动创建 WS-Security 标头时，必须以编程方式检索凭据集并使用它。

作为参考，本节讨论以下常见活动：

第五十五章 安全元素的详细信息 - 详情

本节讨论在消息头中用作 <Security>子元素的 <ReferenceList> 元素。当以这种方式使用 <ReferenceList> 时，可以在签名之前执行加密。以下显示了此元素的一个示例：

第九章 从 Web 客户端指定自定义传输

从 Web 客户端指定自定义传输

默认情况下，如果使用 Web 客户端，Web 客户端将使用 HTTP 将 SOAP 消息传输到 Web 服务并接收响应。可以定义并使用自己的传输类。

背景

为了与其使用的 Web 服务进行通信， Web 客户端需要一个传输类。传输类包含与通信相关的参数、属性和方法。整体通信工作方式如下：

1. 运行 Web 客户端代理方法时，Web 客户端实例会检查其 Transport 属性的值。

如果此属性为空，则 Web 客户端实例将使用自身作为传输类实例。可以将 Transport 属性设置为其他合适类的实例（如果已定义此类）。

第三十五章 结合加密和签名

可以在同一条消息中加密和签名。在大多数情况下，只需组合前面主题中给出的方法即可。本主题讨论了多种场景。

使用非对称密钥签名并加密

要签名然后加密（使用非对称密钥时），请执行以下操作：

1. 按照添加数字签名中的步骤进行操作。
2. 按照加密安全标头元素中的步骤进行操作。

或者按照加密 SOAP 主体中的步骤进行操作。

使用非对称密钥加密并签名

要仅加密 SOAP 主体，然后添加数字签名（使用非对称密钥时），请执行以下操作：

1. 按照加密 SOAP 主体中的步骤进行操作。
2. 按照添加数字签名中的步骤进行操作。

要加密任何安全标头元素，然后添加数字签名（使用非对称密钥时），必须使用顶级 <ReferenceList> 元素（在文档的其他地方不需要）。在这种情况下，请执行以下操作：

第二十三章 加密安全标头元素

本主题介绍如何加密 Web 服务和 Web 客户端发送的消息中的 WS-Security 标头内的元素。（此处描述的工具也可单独使用或与安全标头元素结合使用来加密 SOAP 主体。）

通常，会同时执行加密和签名。为简单起见，本主题仅介绍加密。有关结合加密和签名的信息，请参阅结合加密和签名。

使用派生密钥令牌进行加密和签名主题描述了加密 SOAP 消息部分内容的另一种方法。

加密安全标头元素

与上一主题中显示的加密技术不同，加密 WS-Security 标头元素的过程要求您指定 <EncryptedData> 元素如何连接到相应的 <EncryptedKey> 元素。

要加密安全标头元素，请执行以下操作：

第七章 解析时使用进程私有全局变量

默认情况下， Web 客户端在解析请求或响应时通常使用本地数组内存。可以强制它改用进程私有全局变量；这使 Web 客户端能够处理非常大的消息。

为此，请指定 Web 服务类的 USEPPGHANDLER 参数，如下所示：

Parameter USEPPGHANDLER = 1;

如果此参数为 1，则 Web 客户端在解析请求或响应时始终使用进程私有全局变量。如果此参数为 0，则 Web 客户端始终使用本地数组内存来实现这些目的。如果未设置此参数，则 Web 客户端使用默认值，通常是本地数组内存。

可以在运行时覆盖此参数。为此，请设置 Web 客户端实例的 UsePPGHandler 属性。

InterSystems 常见问题FAQ

要编译包含映射修饰符的类rountine，请指定编译器修饰符“/mapped=1”或“/mapped”。例如，执行以下操作：

[示例 1] 获取类列表并编译

第五十三章 安全元素的详细信息 - 详情

<Signature>的目的是携带可由消息接收者验证的数字签名。可以使用数字签名来检测消息更改，或者只是验证消息的某个部分是否确实由列出的实体生成。与传统的手写签名一样，数字签名是对文档的附加，只能由文档的创建者创建，并且不易伪造。

以下显示了部分示例：

第九章 使用进程私有全局变量来支持非常大的消息

使用进程私有全局变量来支持非常大的消息

默认情况下、 Web 服务在解析请求或响应时通常使用本地数组内存。可以强制它改用进程私有全局变量；这使 Web 服务能够处理非常大的消息。

为此，请指定 Web 服务类的 USEPPGHANDLER 参数，如下所示：

Parameter USEPPGHANDLER = 1;

如果此参数为 1，则 Web 服务在解析请求或响应时始终使用进程私有全局变量。如果此参数为 0，则 Web 服务始终使用本地数组内存来实现这些目的。如果未设置此参数，则 Web 服务使用默认值，通常是本地数组内存。

自定义 Web 服务的回调

可以通过覆盖其回调方法来定制 Web 服务的行为：