Webサービスの安全化には、HTTP Basic認証機能、SSLを利用できます。
WebサービスをHTTP Basic認証機能で安全化する
WebサービスにHTTP Basic認証を設定し、適切な権限設定(認可設定)を行うことで、クライアントの特定および許可されたクライアント以外からの呼出しを排除できます。
WebサービスをHTTP Basic認証機能で安全化するには、以下の設定を行ってください。
実装クラスがJAX-WSエンドポイントの場合はServletに対する設定と同様です。詳細は「4.2.2.2 Web application deployment descriptor (web.xml)」を参照してください。
実装クラスがStateless Session Beanの場合は、Stateless Session Beanに対して認可の設定を行い、Interstage deployment descriptorにwebservice-endpoint要素を作成してlogin-config要素を記載することで設定します。webservice-endpoint要素の詳細は「4.2.3.3 Interstage EJB application deployment descriptor (sun-ejb-jar.xml)」を参照してください。
なお、HTTP Basic認証では、通信路においてユーザ名およびパスワードは暗号化されません。HTTP Basic認証を利用する場合、通常はSSLを併用して通信路での盗聴を防止してください。
WebサービスをSSLで安全化する
SSLを使用することで、通信を暗号化して通信路での盗聴・情報漏洩を防止できるほか、クライアント認証を行うSSL設定を使用することで、クライアントの特定および許可されたクライアント以外からの呼出しを排除できます。
WebサービスをSSLで安全化するには、WebアプリケーションのSSL設定と同様にWebサーバでSSLの設定をしてください。設定方法は、Servletに対する設定と同様です。詳細は、「6.2.3 SSL」を参照してください。
