本主题介绍 SOAtest 如何通过支持执行复杂的身份验证、加密和访问控制测试场景,帮助执行运行时安全策略验证。
章节目录:
概要
SOAtest 包括多种安全工具和选项,可帮助您构建和执行复杂的身份验证、加密和访问控制测试场景。例如:
- XML 加密工具:XML 加密工具允许您使用 Triple DES、AES 128、AES 192 或 AES 256 对整个信息或信息的一部分进行加密和解密。在 WS-Security 模式中,支持二进制安全令牌、X509IssuerSerial 和密钥标识符。
- XML 签名工具:XML 签名器工具允许您根据特定需求,对整个消息或消息的一部分进行数字签名。在某种情况下,加密文档的其他部分时对文档的某些部分进行数字签名可能很重要。
- XML 签名验证工具:XML 签名验证器工具允许使用功能存储在密钥库文件中的公私密钥对对数字签名文件进行验证。
- 密钥库:SOAtest 中密钥库的使用允许您使用存储在密钥库文件中的公私密钥对对数字签名进行加密/解密。可以 JKS、PEM、PKCS12、BKS 和 UBER 的格式使用密钥库。
- 用户名令牌、SAML 令牌、X509 令牌或自定义头文件:SOAtest 支持发送自定义 SOAP 头,并包含用户名令牌和 SAML 令牌的模板。
JCE 前提条件
请参阅 JCE 前提条件。
教程
有关如何将 SOAtest 应用于验证身份验证、加密和访问控制的逐步演示,请参阅 WS-Security。本教程介绍加密/解密、数字签名和 SOAP 头的添加。
相关主题
有关如何使用 SOAtest 的工具来支持特定的身份验证、加密和访问控制验证需求的详细信息,请参阅以下部分。
| Topic | 引用 |
|---|---|
| WS-Security 策略 | |
| 自定义头部 | |
| 工具 | |
| 常规安全设置(身份验证、密钥库等) | |
| HTTPS 和 SSL | 配置部署在 HTTPS 上的服务 |
| SAML |
使用 WS-Security 测试 Oracle/BEA WebLogic 服务
如果您的服务配置了 WS-Security XML 安全策略,那么您可以使用必要的设置配置 SOAtest,以便与 WebLogic 互操作。
为帮助您进行相关配置,我们在 <INSTALL>/examples/tests 目录中提供了一个 SOAtest 示例项目 WebLogicWSS.tst。WebLogicWSS.tst 不是一个可执行的测试;它的目的是作为一个参考,允许您将已经过 Parasoft 验证的工作配置与您自己的工作配置进行比较。这个示例配置已经经过测试,可以使用 WebLogic 9.2 或更高版本。
本例假设您的 WebLogic 应用程序正在使用默认的签名、加密和 UsernameToken (ut)策略。它还假定 wss_client 证书(客户端公钥)已导入 WebLogic 的 DemoTrust 密钥库。
请注意:
- WebLogicWSS.tst 中的签名和加密测试包含配置了 X509 令牌的 WS-Security 头。
- 针对各种 WS-Security 场景设置了各种加密和签名工具。
- 各种操作使用两个证书别名。
如果您正在使用默认策略或基于默认构建的策略,请根据所选择的选项配置您的测试设置以匹配本例。
有关 WebLogic 安全策略的更多信息,请参阅 Oracle 电子文档网站。
