以文本方式查看主题

-  计算机科学论坛  (http://bbs.xml.org.cn/index.asp)
--  『 Web Services & Semantic Web Services 』  (http://bbs.xml.org.cn/list.asp?boardid=10)
----  目前Web Service安全如何实现  (http://bbs.xml.org.cn/dispbbs.asp?boardid=10&rootid=&id=35443)


--  作者:flyfoxs
--  发布时间:7/10/2006 1:14:00 PM

--  目前Web Service安全如何实现
现在比较流行的使用web service的方法是用WSDL发布服务,然后再使用SOAP来实现服务器与客户机的通信。(不知道我这样理解可对,暂且当它是对了)

可是一般编码时,都是根据WSDL生成存根,然后再进行透明 的编码。这样的WebService很吸引人。可是现在webService在安全方面却有一些问题,我不知道是如何解决的。

因为目前WSDL没有对安全进行支持,一些WS-Security只是在SOAP层面实现安全。这样生成存根代码时,肯定就没有考虑到安全了。这样会形成以下几个问题。
1)首先,客户要使用SOAP服务就不能完全根据WSDL的描述来使用(生成存根),如果服务有安全约定,客户必需要通过其它途径了解到细节,否则无法使用。
2)在进行服务合成时,也无法进行,因为它们之间由于安全原因,通信内容可能无法理解。

目前比较流行的解决webservice安全问题是如何解决的。是不是通过其它途径来得到安全相关策略,然后再到客户端点实现?


注:虽然有SSL这个加密通信,但是它不支持中间人,但是WebService中间人的存在是无法避免的啊。

参考:http://searchwebservices.techtarget.com.cn/wsztsec


--  作者:flyfoxs
--  发布时间:7/13/2006 5:28:00 PM

--  
下面的一段活,抄至
http://www-128.ibm.com/developerworks/cn/webservices/ws-security/index.html


WS-Security 与 WSDL


Web 服务的承诺之一就是能够松散地连结各个端点并且允许在 UDDI 目录中发布服务,这些 UDDI 目录可以在运行时被发现和动态调用。遗憾的是,在技术生命周期的这个阶段,SOAP 消息头中 WS-Security 的使用使我们无法做到这一点。今天的 Java 到 WSDL 发射器(Java to WSDL emitter)依然不能创建恰当描述 WS-Security 需求的 WSDL 文档。另外,即使他们能够创建,在现阶段,WebSphere Studio Application Developer 或者 Visual Studio .Net 之类的开发工具仍然不能生成处理服务的 WS-Security 方面的代理。

因此,Web 服务开发者在 2003 年初就需要在这一点上有意识地实现平衡。当使用 WS-Security 时,服务提供者必须要么提供合作伙伴可以调用的存根/代理来处理消息的 WS-Security 部分,要么为他们潜在的业务伙伴和客户手工传达 Web 服务的 WS-Security 需求。对于本文描述的这个基于 WS-Security 的项目,那些恰当签署消息并将 WS-Security 元素插入 SOAP 数据流的代理是为 Java 技术、COM 以及 .Net 客户机创建的。IBM 和其他公司的下一代 Web 服务开发工具应该能够处理 Web 服务的 WS-Security 元素,但开发者需要明白这是个可实现的处理但目前还处于手工处理阶段。


--  作者:Long_JHX
--  发布时间:7/17/2006 4:06:00 PM

--  
按照wss规范自己做吧..!我就这么干的..
--  作者:flyfoxs
--  发布时间:7/17/2006 5:19:00 PM

--  
自己做?有好的例子吗?共享一下?
--  作者:oicq我爱玩
--  发布时间:7/25/2006 7:17:00 PM

--  
拿个实例。。。
W 3 C h i n a ( since 2003 ) 旗 下 站 点
苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
125.000ms