30、Web服务策略与自定义策略全解析

Web服务策略与自定义策略全解析

1. Web服务策略基础

WSE 3.0为Web服务提供了两种安全保障方式，既可以在代码中强制实现安全，也能通过安全策略声明式地实现。WSE策略遵循WS - Policy规范。一般而言，建议使用策略来实现Web服务的安全需求，因为策略有助于将业务逻辑与安全需求逻辑分离，还能扩展策略框架以添加自定义需求，避免代码重复。策略在发送方和接收方进行消息交换前编译，会以SOAP消息过滤器的形式成为运行时组件，其要求会在发送方应用或在接收方强制执行。

学习完本部分内容后，你将具备以下能力：
- 手动创建策略文件。
- 使用WseConfigEditor3工具创建策略文件。
- 在策略文件中声明策略集。
- 将策略映射到SOAP端点。
- 在配置文件中配置策略文件。

预计学习时间为45分钟。

2. 创建策略

WSE 3.0使得创建策略断言文件变得相对简单。策略断言是Web服务能力和需求的组合，是SOAP处理管道的一部分，可看作是用于向处理管道注入输入过滤器、输出过滤器或两者的“工厂”类。创建和实现策略可按以下步骤进行：
1. 创建一个存根来容纳策略元素，即创建一个 .config 文件，也就是策略文件或策略缓存文件。
2. 创建一组策略断言。有一系列可用的断言，如果这些断言无法满足应用需求，可通过创建继承自 SecurityPolicyAssertion 或 PolicyAssertion 类的类来开发自定义断言。
3. 从应用程序配置文件中引用策略