非推奨の WSSecurityHelper revokeSSOCookies メソッドと getLTPACookieFromSSOToken メソッドを使用しない

この規則は、以下の非推奨メソッドにフラグを立てます。 com.ibm.websphere.security.WSSecurityHelper クラス:

• revokeSSOCookies(HttpServletRequest req, HttpServletResponse res)
• getLTPACookieFromSSOToken()

これらのメソッドは、従来の WebSphere Application Server バージョン 8.5 では推奨されておらず、将来のリリースで除去される可能性があります。 Libertyでは使用できません。

提供される機能 WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) は、 Java Servlet-3.0 仕様に置き換えられます。 logout() メソッド。 Java Servlet-3.0 logout() メソッドは、以下のすべての作業を実行します。 WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) セッションの無効化やセキュリティーのクリアなどの追加の状態のクリーンアップを実行するとともに実行します。 Subject スレッドから取得します。

バイナリー・スキャナーでは、自動修正によって以下の呼び出しが置き換えられます。 revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) 呼び出しを使用して、 logout() メソッド。 例えば、以下のコードがあるとします。

import javax.servlet.http.HttpServletRequest; ... WSSecurityHelper.revokeSSOCookies(req, res);

はに置き換えられます

import javax.servlet.http.HttpServletRequest; ... req.logout();

提供される機能 WSSecurityHelper.getLTPACookieFromSSOToken() 新しい方法で置き換えられます。 com.ibm.websphere.security.web.WebSecurityHelper.getSSOCookieFromSSOToken(). この新規メソッドはクラス内にあることに注意してください com.ibm.websphere.security.web.WebSecurityHelper, not com.ibm.websphere.security.WSSecurityHelper. このメソッドは、現行スレッドのサブジェクトから SSO トークンを取り出します。そして、下流の Web 呼び出しで使用するために、取り出した SSO トークンから SSO cookie を作成します。

バイナリー・スキャナーでは、自動修正によって以下の呼び出しが置き換えられます。 WSSecurityHelper.getLTPACookieFromSSOToken() 呼び出しを使用して、 WebSecurityHelper.getSSOCookieFromSSOToken() メソッド。 次のインポート・ステートメント com.ibm.websphere.security.web.WebSecurityHelper 必要に応じて追加されます。 例えば、以下のコードがあるとします。

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; ... Cookie ltpaCookie = WSSecurityHelper.getLTPACookieFromSSOToken();

はに置き換えられます

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; import com.ibm.websphere.security.web.WebSecurityHelper; ... Cookie ltpaCookie = WebSecurityHelper.getSSOCookieFromSSOToken();

新しいメソッドを使用して、 WebSphere Application Server traditional と Libertyの両方で互換性を持たせます。 また、 logout() および getSSOCookieFromSSOToken() 使用中のメソッドの場合、アプリケーションには WebSphere Application Server V8.0 以降が必要です。

このルールには自動修正があります。 カスタム構成をアプリケーション・ビルド・ファイルにコピーして有効にします。

追加情報については、以下を参照してください。

• Java Servlet 3.0 セキュリティーのサポート の資料。
• クラス WSSecurityHelper Java 資料。
• サーブレット・セキュリティー・メソッド の資料。