本主题解释 SOAtest 如何通过支持执行复杂的身份验证、加密和访问控制测试场景,帮助执行运行时安全策略验证。
本章包含:
概要
为了帮助您确保安全措施能够完美地工作,SOAtest 包含了大量的安全工具和选项,这些工具和选项可以帮助您构建和执行复杂的身份验证、加密和访问控制测试场景。例如:
- XML 加密工具:这个 XML 加密 工具允许您使用 Triple DES, AES 128, AES 192, 或 AES 256 对整个信息或信息的一部分进行加密和解密。在 WS-Security 模式中,支持二进制安全令牌、X509IssuerSerial 和密钥标识符。
- XML 签名工具:这个 XML 签名器 工具允许您根据特定需求,对整个消息或消息的一部分进行数字签名。在某种情况下,加密文档的其他部分时对文档的某些部分进行数字签名可能很重要。
- XML 签名验证器工具这个 XML 签名验证器 工具允许使用功能存储在密匙库文件中的公私钥匙对对数字签名文件进行验证。
- 密匙库:SOAtest 中密匙库的使用允许您使用存储在密匙库文件中的公私钥匙对对数字签名进行加密/解密。可以 JKS、PEM、PKCS12、BKS 和 UBER 的格式使用密匙库。
- 用户名令牌、SAML 令牌、X509 令牌或自定义头文件:SOAtest 支持发送自定义 SOAP 头文件,并包含用户名令牌和 SAML 令牌的模板。
教程
有关如何将 SOAtest 应用于验证身份验证、加密和访问控制的逐步演示,请参阅 WS-Security。本教程介绍加密/解密、数字签名和 SOAP 数据头的添加。
相关主题
有关如何使用 SOAtest 的工具来支持特定的身份验证、加密和访问控制验证需求的详细信息,请参阅以下部分。
| 主题 | 引用 |
|---|---|
| WS-Security 策略 | |
| 自定义数据头 | Adding SOAP Headers |
| 工具 | |
| 一般安全设置(身份验证、密钥库等) | |
| HTTPS 和 SSL | 配置部署在 HTTPS 上的服务 |
| SAML | Adding SAML Headers |
使用 WS-Security 测试 Oracle/BEA WebLogic 服务
如果您的服务配置了 WS-Security XML 安全策略,那么您可以使用必要的设置配置 SOAtest,以便与 WebLogic 互操作。
为了帮助您配置这些设置, [SOAtest install dir]/examples/tests中包含了一个示例 SOAtest 项目 WebLogicWSS.tst。WebLogicWSS.tst 不是一个可执行的测试;它的目的是作为一个参考,允许您将已经过 Parasoft 验证的工作配置与您自己的工作配置进行比较。这个示例配置已经经过测试,可以使用 WebLogic 9.2 或更高版本。
本例假设您的 WebLogic 应用程序正在使用默认的签名、加密和 UsernameToken (ut)策略。它还假定 wss_client 证书(客户端公钥)已导入 WebLogic 的 DemoTrust 密钥存储库。
请注意:
- WebLogicWSS.tst 中的签名和加密测试包含配置了 X509 令牌的 WS-Security 数据头。
- 针对各种 WS-Security 场景设置了各种加密和签名工具。
- 各种操作使用两个证书别名。
如果您正在使用默认策略或基于默认构建的策略,请根据所选择的选项配置您的测试设置以匹配本例。
有关 WebLogic 安全策略的更多信息,请参考 Oracle 的 e-docs 站点。
JCE 前提条件
请查阅 JCE 前提条件。
