我在一家为银行应用程序开发高度安全的 Web 服务的公司工作。将创建和使用 Web 服务,以便与银行已在使用的应用程序建立通信。Web 服务将部署在 JBoss 服务器上。哪些 Web 服务框架/引擎最适合高安全性应用程序?我做了一些研究,并入围了一些。它们如下。
我什至读过 JBoss 服务器有一些内置的 Web 服务引擎,但还没有收集到太多的信息。我还读到 Apache Axis2 使用 Apache Rampart 实现安全功能。Apache Rampart 的效果如何?是否适合上述应用?除了 Axis2 的 Rampart 之外,还有其他安全实现吗?
我应该选择哪个框架/引擎?除了上面提到的那些,还有没有什么好的可靠的框架,有强大的社区支持?
最新版本的 JBoss 使用 CXF 作为底层 Web 服务引擎(尽管它们也有自己的实现并维护)。
对于安全情况,三者中最好的选择绝对是 Apache CXF。CXF 开发人员(特别是 Colm 和 Oli)是推动安全领域大部分增强功能的人。Rampart 的最后一个发布版本使用的是相当旧的 WSS4J 版本,它不包含 CXF 用户喜欢的许多新功能和增强功能。
Colm 的博客是一个很好的参考资源:http: //coheigea.blogspot.com/
你可以看到他为确保 CXF 拥有最好的 WS-Security 实现、非常好的 STS 等付出了多少努力...... Oli 的博客 ( http://owulff.blogspot.com/ ) 已经开始记录扩展到 Tomcat 等以支持 WS-Federation 和 SSO,同样基于为 CXF 所做的工作。