Evitar la utilización de los métodos WSSecurityHelper revokeSSOCookies y getLTPACookieFromSSOToken en desuso

Esta regla señala los siguientes métodos en desuso del com.ibm.websphere.security.WSSecurityHelper clase:

• revokeSSOCookies(HttpServletRequest req, HttpServletResponse res)
• getLTPACookieFromSSOToken()

Estos métodos están en desuso en la versión tradicional de WebSphere Application Server 8.5 y es posible que se eliminen en un futuro release. No están disponibles en Liberty.

La funcionalidad proporcionada por WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) se sustituye por la especificación Java Servlet-3.0 logout() . Java Servlet-3.0 logout() realizará todo el trabajo que WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) además de realizar una limpieza de estado adicional, como invalidar la sesión y borrar la seguridad Subject de la hebra.

En el explorador binario, el arreglo automatizado sustituye las llamadas a revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) con llamadas al logout() . Por ejemplo, el código siguiente

import javax.servlet.http.HttpServletRequest; ... WSSecurityHelper.revokeSSOCookies(req, res);

se sustituye por

import javax.servlet.http.HttpServletRequest; ... req.logout();

La funcionalidad proporcionada por WSSecurityHelper.getLTPACookieFromSSOToken() se sustituye por el nuevo método com.ibm.websphere.security.web.WebSecurityHelper.getSSOCookieFromSSOToken(). Tenga en cuenta que este nuevo método está en la clase com.ibm.websphere.security.web.WebSecurityHelper, not com.ibm.websphere.security.WSSecurityHelper. Este método extrae el token de SSO del sujeto de la hebra actual y crea un cookie de SSO a partir de él para utilizarlo en invocaciones web descendentes.

En el explorador binario, el arreglo automatizado sustituye las llamadas a WSSecurityHelper.getLTPACookieFromSSOToken() con llamadas al WebSecurityHelper.getSSOCookieFromSSOToken() . Una sentencia de importación para com.ibm.websphere.security.web.WebSecurityHelper se añade si es necesario. Por ejemplo, el código siguiente

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; ... Cookie ltpaCookie = WSSecurityHelper.getLTPACookieFromSSOToken();

se sustituye por

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; import com.ibm.websphere.security.web.WebSecurityHelper; ... Cookie ltpaCookie = WebSecurityHelper.getSSOCookieFromSSOToken();

Utilice los nuevos métodos para ser compatibles en WebSphere Application Server tradicional y Liberty. Tenga en cuenta también que con el logout() y getSSOCookieFromSSOToken() en uso, la aplicación requiere WebSphere Application Server V8.0 o posterior.

Esta regla tiene un arreglo automatizado. Copie la configuración personalizada en el archivo de compilación de la aplicación para habilitarla.

Para obtener información adicional, consulte

• Documentación del soporte de seguridad de Java Servlet 3.0.
• Documentación de clase WSSecurityHelper Java .
• Documentación de los Métodos de seguridad de servlets.