1

我为我们的客户创建了一个 Web 服务,并使用带有 PasswordDigest 的用户名令牌(带有时间戳、随机数和加密密码)来保护它。其中一个客户端使用的软件不支持 PasswordDigest,只支持纯文本用户名和密码。

我对 SOAP-Header 中的纯文本密码感到有些不自在。但是整个流量都是使用 HTTPS 保护的。

我的问题:使用 HTTPS,即使我将安全要求从 PasswordDigest 更改为 PasswordText,它是否仍然足够安全?

我的要求是:

  • 客户端必须使用用户名进行身份验证,因为我必须知道哪个客户端正在访问 Web 服务并且
  • 任何中间人都不能在 SOAP 标头中看到纯文本密码!
4

2 回答 2

0

如果您正在使用HTTPS,您也许可以取消PasswordDigest和使用PasswordText,但您需要确保您从不支持不安全的请求

于 2012-10-11T09:31:36.383 回答
0

您可能还想研究 SOAP 的WS-Security扩展。

至于你的问题,我不害怕在 HTTPS 上使用明文密码,但正如@Anshu 所说,确保你的服务不会在 HTTP 上响应!另外,请注意,在技术上是可行的,并且经常看到公司代理有效地对 HTTPS 流量执行中间人“攻击”......

干杯,

于 2012-10-11T09:36:40.813 回答