Evitare di utilizzare i metodi WSSecurityHelper revokeSSOCookies e getLTPACookieFromSSOToken obsoleti

Questa regola contrassegna i seguenti metodi obsoleti dal com.ibm.websphere.security.WSSecurityHelper Classe:

• revokeSSOCookies(HttpServletRequest req, HttpServletResponse res)
• getLTPACookieFromSSOToken()

Questi metodi sono obsoleti in WebSphere Application Server Versione 8.5 tradizionale e potrebbero essere rimossi in una release futura. Non sono disponibili in Liberty.

La funzionalità fornita da WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) viene sostituito dalla specifica Java Servlet-3.0 logout() metodo. Java Servlet-3.0 logout() eseguirà tutto il lavoro che WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) esegue e ripulisce lo stato, ad esempio invalidando la sessione e cancellando la sicurezza Subject dal thread.

Nello scanner binario, la correzione automatica sostituisce le chiamate a revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) con chiamate al logout() metodo. Ad esempio, il seguente codice

import javax.servlet.http.HttpServletRequest; ... WSSecurityHelper.revokeSSOCookies(req, res);

viene sostituito da

import javax.servlet.http.HttpServletRequest; ... req.logout();

La funzionalità fornita da WSSecurityHelper.getLTPACookieFromSSOToken() viene sostituito dal nuovo metodo com.ibm.websphere.security.web.WebSecurityHelper.getSSOCookieFromSSOToken(). Notare che questo nuovo metodo si trova nella classe com.ibm.websphere.security.web.WebSecurityHelper, Non com.ibm.websphere.security.WSSecurityHelper. Questo metodo estrae il token SSO dall'oggetto del thread corrente e crea un cookie SSO al suo esterno da utilizzare per i richiami Web downstream.

Nello scanner binario, la correzione automatica sostituisce le chiamate a WSSecurityHelper.getLTPACookieFromSSOToken() con chiamate al WebSecurityHelper.getSSOCookieFromSSOToken() metodo. Un'istruzione import per com.ibm.websphere.security.web.WebSecurityHelper viene aggiunto se necessario. Ad esempio, il seguente codice

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; ... Cookie ltpaCookie = WSSecurityHelper.getLTPACookieFromSSOToken();

viene sostituito da

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; import com.ibm.websphere.security.web.WebSecurityHelper; ... Cookie ltpaCookie = WebSecurityHelper.getSSOCookieFromSSOToken();

Utilizzare i nuovi metodi per essere compatibili su WebSphere Application Server tradizionale e Liberty. Si noti inoltre che con il logout() e getSSOCookieFromSSOToken() in uso, l'applicazione richiede WebSphere Application Server V8.0 o successive.

Questa regola ha una correzione automatica. Copiare la configurazione personalizzata nel proprio file di build dell'applicazione per abilitarlo.

Per ulteriori informazioni, consultare

• Documentazione Java Servlet 3.0 support for security.
• Documentazione Java Class WSSecurityHelper.
• Documentazione Servlet security methods.