Evitar o uso dos métodos WSSecurityHelper revokeSSOCookies e getLTPACookieFromSSOToken descontinuados

Esta regra sinaliza os métodos descontinuados a seguir a partir do com.ibm.websphere.security.WSSecurityHelper classe:

• revokeSSOCookies(HttpServletRequest req, HttpServletResponse res)
• getLTPACookieFromSSOToken()

Esses métodos foram descontinuados no WebSphere Application Server Versão 8.5 tradicional e podem ser removidos em uma liberação futura Eles não estão disponíveis no Liberty

A funcionalidade fornecida por WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) é substituído pela especificação de Java Servlet-3.0 logout() . O Java Servlet-3.0 logout() o método executará todo o trabalho que WSSecurityHelper.revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) executa bem como fazer limpeza de estado adicional, como invalidar a sessão e limpar a segurança Subject do encadeamento.

No scanner binário, a correção automatizada substitui chamadas para revokeSSOCookies(HttpServletRequest req, HttpServletResponse res) com chamadas para o logout() . Por exemplo, o seguinte código

importar javax.servlet.http.HttpServletRequest; ... WSSecurityHelper.revokeSSOCookies(req, res);

é substituído por

importar javax.servlet.http.HttpServletRequest; ... req.logout();

A funcionalidade fornecida por WSSecurityHelper.getLTPACookieFromSSOToken() é substituído pelo novo método com.ibm.websphere.security.web.WebSecurityHelper.getSSOCookieFromSSOToken(). Observe que esse novo método está na classe com.ibm.websphere.security.web.WebSecurityHelper, Não com.ibm.websphere.security.WSSecurityHelper. Esse método extrairá o token SSO do assunto do encadeamento atual e construirá um cookie SSO fora dela para uso em chamadas da web de recebimento de dados.

No scanner binário, a correção automatizada substitui chamadas para WSSecurityHelper.getLTPACookieFromSSOToken() com chamadas para o WebSecurityHelper.getSSOCookieFromSSOToken() . Uma instrução de importação para com.ibm.websphere.security.web.WebSecurityHelper é incluído, se necessário Por exemplo, o seguinte código

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; ... Cookie ltpaCookie = WSSecurityHelper.getLTPACookieFromSSOToken();

é substituído por

import javax.servlet.http.Cookie; import com.ibm.websphere.security.WSSecurityHelper; import com.ibm.websphere.security.web.WebSecurityHelper; ... Cookie ltpaCookie = WebSecurityHelper.getSSOCookieFromSSOToken();

Use os novos métodos para serem compatíveis no WebSphere Application Server tradicional e Liberty. Observe também que com o logout() e getSSOCookieFromSSOToken() em uso, o aplicativo requer WebSphere Application Server V8.0 ou posterior.

Esta regra tem uma correção automatizada. Copie a configuração customizada para seu arquivo de construção do aplicativo para ativá-la.

Para obter informações adicionais, consulte

• Documentação do Java Servlet 3.0 para segurança.
• Classe WSSecurityHelper Java documentação.
• Documentação dos métodos de segurança do Servlet.