Web Services 指南之:Web Services 的安全

作者:湖北诺贝特科技有限公司  来源:www.nbt158.com未知  发布时间:2017-09-09 10:26:49
Web Services 指南之:Web Services 的安全


安全对于 Web Services 来讲至关重要。但是,不管是 XML-RPC 还是 SOAP 规范都没有做任何明确的安全或认证要求。

有三个特定的与 Web Services 相关的安全问题:

保密性认证网络安全
保密性
如果一个客户端发送一个 XML 请求到一台服务器,我们能否保证通信过程的保密性?

答案在这里:

XML-RPC 和 SOAP 主要运行于 HTTP 之上HTTP 支持 SSL通信可以通过 SSL 进行加密SSL 是一个久经考验并被广泛应用的技术单个的 web service 可能会由一系列的应用组成。例如,一个大型服务可能会把三个其他应用的服务捆绑在一起。在这种情况下,SSL 是不够的;每个服务路径的节点都需要对消息进行加密,每个节点都代表一个潜在的薄弱的环节。目前为止还没有就此问题达成一个一致的解决方案,但是一个很有前景的解决方案是 W3C XML 加密标准。这一标准为整个或部分 XML 文档的加密和解密提供了一个框架。

认证
如果一个客户端连接到一个 web service,我们该如何识别用户?该用户被授权使用服务了吗?

可以考虑以下选项,但目前还没有达成一个明确的强大授权方案。

HTTP 包含内置基本和摘要式身份验证支持,因此服务可以像目前 HTML 文档的保护那样进行保护。SOAP 数字签名(SOAP-DSIG)使用公钥来对 SOAP 消息进行数字签名。它允许客户端或服务器端验证对方的身份。结构化信息标准促进组织(OASIS)目前正致力于安全断言标记语言(SAML)的研发。
网络安全
这个问题目前还没有一个轻松的答案,它一直是有一个具有争议的问题。目前,如果你真想对 SOAP 或者 XML-RPC 消息进行过滤,一个可行的办法就是去将所有 HTTP POST 请求进行过滤,将其内容类型设置为 text/xml。

另外一个选择是过滤 SOAPAction 的 HTTP 头属性。防火墙厂商们目前也在致力于用于过滤 web service 流量的工具的开发。

企业建站2800元起,携手武汉肥猫科技,做一个有见地的颜值派!更多优惠请戳:咸宁网站建设 http://xianning.45qun.com


上一篇:CI框架源码阅读笔记2 一切的入口 index.php
下一篇:最后一页