Eviter d'utiliser les méthodes obsolètes WSSecurityHelper revokeSSOCookies et getLTPACookieFromSSOToken

Cette règle marque les méthodes obsolètes suivantes à partir de la com.ibm.websphere.security.WSSecurityHelper classe:

Ces méthodes sont obsolètes dans la version traditionnelle de WebSphere Application Server version 8.5 et pourront être supprimées dans une version ultérieure. Ils ne sont pas disponibles dans Liberty.

La fonctionnalité fournie par WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) est remplacé par la spécification Java Servlet-3.0 logout() . Java Servlet-3.0 logout() la méthode effectuera tous les travaux qui WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) effectue également un nettoyage d'état supplémentaire, tel que l'invalidation de la session et l'effacement de la sécurité Subject à partir de l'unité d'exécution.

Dans le scanner binaire, le correctif automatisé remplace les appels à revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) avec des appels à la logout() . Par exemple, le code suivant

import javax.servlet.http.HttpServletRequest;
...
WSSecurityHelper.revokeSSOCookies(req, res);

est remplacé par

import javax.servlet.http.HttpServletRequest;
...
req.logout();

La fonctionnalité fournie par WSSecurityHelper.getLTPACookieFromSSOToken() est remplacée par la nouvelle méthode com.ibm.websphere.security.web.WebSecurityHelper.getSSOCookieFromSSOToken(). Notez que cette nouvelle méthode se trouve dans la classe com.ibm.websphere.security.web.WebSecurityHelper, pas com.ibm.websphere.security.WSSecurityHelper. Elle extrait le jeton SSO du sujet de l'unité d'exécution en cours et génère à partir de celui-ci un cookie SSO qui sera utilisé lors des appels Web en aval.

Dans le scanner binaire, le correctif automatisé remplace les appels à WSSecurityHelper.getLTPACookieFromSSOToken() avec des appels à la WebSecurityHelper.getSSOCookieFromSSOToken() . Une instruction d'importation pour com.ibm.websphere.security.web.WebSecurityHelper est ajoutée si nécessaire. Par exemple, le code suivant

import javax.servlet.http.Cookie;
import com.ibm.websphere.security.WSSecurityHelper;
...
Cookie ltpaCookie = WSSecurityHelper.getLTPACookieFromSSOToken();

est remplacé par

import javax.servlet.http.Cookie;
import com.ibm.websphere.security.WSSecurityHelper;
import com.ibm.websphere.security.web.WebSecurityHelper;
...
Cookie ltpaCookie = WebSecurityHelper.getSSOCookieFromSSOToken();

Utilisez les nouvelles méthodes pour qu'elles soient compatibles sur WebSphere Application Server Traditional et Liberty. Notez également qu'avec le logout() et getSSOCookieFromSSOToken() en cours d'utilisation, l'application requiert WebSphere Application Server V8.0 ou version ultérieure.

Cette règle a un correctif automatisé. Copiez la configuration personnalisée vers votre fichier de génération d'application pour l'activer.

Pour plus d'informations, voir :