我能想到的唯一原因是需要额外的安全层,因为 Web 服务运行在应用层协议之上。这是否意味着需要额外的安全层?
问问题
59 次
1 回答
0
许多刚接触 Web 服务的人将 SOAP 视为通过 HTTP 在两个端点之间交换消息的一种方式。通过 HTTP,可以对调用者进行身份验证、对消息进行签名以及对消息内容进行加密。这使得消息在多个维度上是安全的:调用者是已知的,消息的接收者可以验证消息在传输过程中没有发生变化,并且观察有线流量的实体无法弄清楚正在交换什么数据。然而,对于那些希望通过 SOAP 消息传递来解决更大问题的人来说,仅仅基于 HTTP 的安全性是不够的。许多更大的问题涉及沿比请求/响应更复杂的路径或通过不涉及 HTTP 的传输方式发送消息。消息和调用者的身份、完整性和安全性需要在多个跃点上保留。沿途可以使用多个加密密钥。信任域将被交叉。HTTP 及其安全机制仅解决点对点安全问题。更复杂的解决方案需要嵌入端到端的安全性。WS-Security 解决了如何通过多点消息路径维护安全上下文。
于 2014-06-09T06:30:14.303 回答