Verwendung der veralteten Methoden WSSecurityHelper revokeSSOCookies und getLTPACookieFromSSOToken vermeiden

Diese Regel markiert die folgenden veralteten Methoden aus dem com.ibm.websphere.security.WSSecurityHelper Klasse:

Diese Methoden sind in der traditionellen WebSphere Application Server Version 8.5 veraltet und werden möglicherweise in einem zukünftigen Release entfernt. Sie sind in Libertynicht verfügbar.

Die von bereitgestellte Funktionalität WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) wird durch die Spezifikation Java Servlet-3.0 ersetzt. logout() Methode. Java Servlet-3.0 logout() Methode führt alle Arbeiten aus, die WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) Führt eine zusätzliche Statusbereinigung durch, wie z. B. die Inaktivierung der Sitzung und das Löschen der Sicherheit. Subject aus dem Thread.

Im Binärscanner ersetzt der automatisierte Fix Aufrufe an revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) mit Aufrufen an die logout() Methode. Der Code

import javax.servlet.http.HttpServletRequest;
...
WSSecurityHelper.revokeSSOCookies(req, res);

wird beispielsweise durch den folgenden Code ersetzt:

import javax.servlet.http.HttpServletRequest;
...
req.logout();

Die von bereitgestellte Funktionalität WSSecurityHelper.getLTPACookieFromSSOToken() wird durch die neue Methode ersetzt com.ibm.websphere.security.web.WebSecurityHelper.getSSOCookieFromSSOToken(). Beachten Sie, dass diese neue Methode in der Klasse enthalten ist. com.ibm.websphere.security.web.WebSecurityHelper, keine com.ibm.websphere.security.WSSecurityHelper. Diese Methode extrahiert das SSO-Token aus dem Subjekt des aktuellen Threads und erstellt daraus ein SSO-Cookie, das in nachgeordneten Webaufrufen verwendet wird.

Im Binärscanner ersetzt der automatisierte Fix Aufrufe an WSSecurityHelper.getLTPACookieFromSSOToken() mit Aufrufen an die WebSecurityHelper.getSSOCookieFromSSOToken() Methode. Eine Importanweisung für com.ibm.websphere.security.web.WebSecurityHelper wird bei Bedarf hinzugefügt. Der Code

import javax.servlet.http.Cookie;
import com.ibm.websphere.security.WSSecurityHelper;
...
Cookie ltpaCookie = WSSecurityHelper.getLTPACookieFromSSOToken();

wird beispielsweise durch den folgenden Code ersetzt:

import javax.servlet.http.Cookie;
import com.ibm.websphere.security.WSSecurityHelper;
import com.ibm.websphere.security.web.WebSecurityHelper;
...
Cookie ltpaCookie = WebSecurityHelper.getSSOCookieFromSSOToken();

Verwenden Sie die neuen Methoden, um sowohl in WebSphere Application Server Traditional als auch Libertykompatibel zu sein. Beachten Sie auch, dass mit dem logout() und getSSOCookieFromSSOToken() Methoden verwendet werden, erfordert die Anwendung WebSphere Application Server V8.0 oder höher.

Diese Regel hat einen automatisierten Fix. Kopieren Sie die angepasste Konfiguration in die Builddatei Ihrer Anwendung, um sie zu aktivieren.

Weitere Informationen finden Sie in den folgenden Quellen: