计算机科学论坛--目前Web Service安全如何实现

新书推介：《语义网技术体系》
作者：瞿裕忠，胡伟，程龚

XML论坛

W3CHINA.ORG讨论区

>>计算机科学论坛<<

SOAChina论坛

Blog

开放翻译计划

新浪微博

首页

软件下载

资料下载

核心成员

帮助

>> Web服务(Web Services,WS), 语义Web服务(Semantic Web Services, SWS)讨论区: WSDL, SOAP, UDDI, DAML-S, OWL-S, SWSF, SWSL, WSMO, WSML,BPEL, BPEL4WS, WSFL, WS-*,REST, PSL, Pi-calculus(Pi演算), Petri-net,WSRF,

[返回] 计算机科学论坛 → W3CHINA.ORG讨论区 - Web新技术讨论 → 『 Web Services & Semantic Web Services 』 → 目前Web Service安全如何实现

◇查看新帖 ◇ 用户列表 ◇

(订阅本版)

您是本帖的第 4971 个阅读者　　

*	贴子主题：目前Web Service安全如何实现	举报打印推荐 IE收藏夹
	本主题类别:

flyfoxs

  威望：5
  等级：研一(Artificial Intelligence期期不放过)
  文章：550
  积分：3935
  门派：XML.ORG.CN
  注册：2005/1/8

姓名：(无权查看)
城市：(无权查看)
院校：(无权查看)

	楼主

目前Web Service安全如何实现

现在比较流行的使用web service的方法是用WSDL发布服务，然后再使用SOAP来实现服务器与客户机的通信。（不知道我这样理解可对，暂且当它是对了）
可是一般编码时，都是根据WSDL生成存根，然后再进行透明的编码。这样的WebService很吸引人。可是现在webService在安全方面却有一些问题，我不知道是如何解决的。
因为目前WSDL没有对安全进行支持，一些WS-Security只是在SOAP层面实现安全。这样生成存根代码时，肯定就没有考虑到安全了。这样会形成以下几个问题。
1）首先，客户要使用SOAP服务就不能完全根据WSDL的描述来使用（生成存根），如果服务有安全约定，客户必需要通过其它途径了解到细节，否则无法使用。
2）在进行服务合成时，也无法进行，因为它们之间由于安全原因，通信内容可能无法理解。

目前比较流行的解决webservice安全问题是如何解决的。是不是通过其它途径来得到安全相关策略，然后再到客户端点实现？

注：虽然有SSL这个加密通信，但是它不支持中间人，但是WebService中间人的存在是无法避免的啊。
参考：http://searchwebservices.techtarget.com.cn/wsztsec

   收藏   分享
顶(0)


----------------------------------------------
存在即是被搜索!
BLOG =>  http://www.OpenJ.cn

2006/7/10 13:14:00

flyfoxs

  威望：5
  等级：研一(Artificial Intelligence期期不放过)
  文章：550
  积分：3935
  门派：XML.ORG.CN
  注册：2005/1/8

姓名：(无权查看)
城市：(无权查看)
院校：(无权查看)

	第2楼

下面的一段活，抄至
http://www-128.ibm.com/developerworks/cn/webservices/ws-security/index.html

WS-Security 与 WSDL

Web 服务的承诺之一就是能够松散地连结各个端点并且允许在 UDDI 目录中发布服务，这些 UDDI 目录可以在运行时被发现和动态调用。遗憾的是，在技术生命周期的这个阶段，SOAP 消息头中 WS-Security 的使用使我们无法做到这一点。今天的 Java 到 WSDL 发射器（Java to WSDL emitter）依然不能创建恰当描述 WS-Security 需求的 WSDL 文档。另外，即使他们能够创建，在现阶段，WebSphere Studio Application Developer 或者 Visual Studio .Net 之类的开发工具仍然不能生成处理服务的 WS-Security 方面的代理。
因此，Web 服务开发者在 2003 年初就需要在这一点上有意识地实现平衡。当使用 WS-Security 时，服务提供者必须要么提供合作伙伴可以调用的存根／代理来处理消息的 WS-Security 部分，要么为他们潜在的业务伙伴和客户手工传达 Web 服务的 WS-Security 需求。对于本文描述的这个基于 WS-Security 的项目，那些恰当签署消息并将 WS-Security 元素插入 SOAP 数据流的代理是为 Java 技术、COM 以及 .Net 客户机创建的。IBM 和其他公司的下一代 Web 服务开发工具应该能够处理 Web 服务的 WS-Security 元素，但开发者需要明白这是个可实现的处理但目前还处于手工处理阶段。
----------------------------------------------
存在即是被搜索!
BLOG => http://www.OpenJ.cn

2006/7/13 17:28:00

Long_JHX

  等级：大一新生
  文章：3
  积分：73
  门派：XML.ORG.CN
  注册：2005/9/30

姓名：(无权查看)
城市：(无权查看)
院校：(无权查看)

	第3楼

按照wss规范自己做吧..!我就这么干的..

2006/7/17 16:06:00

flyfoxs

  威望：5
  等级：研一(Artificial Intelligence期期不放过)
  文章：550
  积分：3935
  门派：XML.ORG.CN
  注册：2005/1/8

姓名：(无权查看)
城市：(无权查看)
院校：(无权查看)

	第4楼

自己做？有好的例子吗？共享一下？
----------------------------------------------
存在即是被搜索!
BLOG => http://www.OpenJ.cn

2006/7/17 17:19:00

oicq我爱玩

  等级：大一(猛啃高等数学)
  文章：18
  积分：150
  门派：XML.ORG.CN
  注册：2006/7/25

姓名：(无权查看)
城市：(无权查看)
院校：(无权查看)

	第5楼

拿个实例。。。

2006/7/25 19:17:00

GoogleAdSense

  等级：大一新生
  文章：1
  积分：50
  门派：无门无派
  院校：未填写
  注册：2007-01-01

	广告

2025/6/21 10:49:56

本主题贴数5，分页： [1]

管理选项：修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告


	W 3 C h i n a ( since 2003 ) 旗下站点苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》	125.000ms