问题标签 [ws-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
web-services - Where can I find some good WS-Security introductions and tutorials?
Can anyone point me to some decent introductions to WS-Security?
I'm looking for tutorials or something that provide a fairly gentle introduction to the subject, though I don't mind if it assumes basic knowledge of web services and SOAP. Most of the stuff I've seen so far is very technical and you need a lot of complex, detailed background knowledge to understand it properly.
We have to implement a web service in PHP and one or more clients in .NET, so resources covering both would be much appreciated.
java - 从 Java 调用 .NET Web 服务(WSE 2/3,WS-Security)
我需要从 Java 调用用 .NET 编写的 Web 服务。Web 服务实现了 WS-Security 堆栈(WSE 2 或 WSE 3,从我掌握的信息中并不清楚)。
我从服务提供者那里收到的信息包括 WSDL、一个 policyCache.config 文件、一些示例 C# 代码和一个可以成功调用该服务的示例应用程序。
这并不像听起来那么有用,因为不清楚我应该如何使用这些信息来编写 Java 客户端。如果 Web 服务请求未根据策略签名,则它会被服务拒绝。我正在尝试使用 Apache Axis2,但找不到任何关于我应该如何使用 policyCahce.config 文件和 WSDL 来生成客户端的说明。
我在 Web 上找到了几个示例,但在所有情况下,示例的作者都控制了服务和客户端,因此能够在双方进行调整以使其正常工作。我不在那个位置。
有没有人成功做到这一点?
wcf - 如何在 WCF 中只使用一次客户端凭据进行身份验证?
在使用基于 WCF 构建的 API 时,确保您只需要进行一次身份验证的最佳方法是什么?
下面列出了我当前的绑定和行为
接下来是我在客户端应用程序中用来进行身份验证的内容(目前我每次想调用 WCF 时都必须这样做)
我想做的是使用这些凭据对 API 进行身份验证,然后在我的客户端应用程序使用 Web 服务项目的时间段内获取某种类型的令牌。我认为establishsecuritycontext=true 是为我做的吗?
ruby - Ruby 和 WS 安全性
我很难找到实现 WS-Security 的优秀 Ruby 库。我见过wss4r但还没有使用它(并且文档对它有点轻)。您使用哪些库来完成这项任务,或者有更好的选择吗?
web-services - 如何创建使用 WS-Security 的 ColdFusion Web 服务客户端?
我已经使用 Java 和 WS-Security 在我们的产品中公开了几个 Web 服务。我们的一位客户想要使用 ColdFusion 使用 Web 服务。ColdFusion 是否支持 WS-Security?我可以通过编写 Java 客户端并在 ColdFusion 中使用它来解决它吗?
(我对 ColdFusion 了解不多)。
wcf - 使用支持标准的绑定指定必须在 WCF 中签名和/或加密的标头部分
使用 Ws2007HttpBinding 并保护服务,生成的 WSDL 文件在策略部分显示所有 ws-addressing 标头和正文都将被签名,并且正文将被加密。
我们想指定必须对哪些标头进行签名和/或加密,就像在 Apache 壁垒中一样。对于自定义的 header 或 body 元素,可以在代码中使用注解,但是对于这些由绑定本身添加的元素,是否可以?
java - Axis 2 中 SOAP 消息的加密
我需要对网络服务(服务器端)使用加密(和签名)。我使用axis2并成功添加了壁垒模块(用于WS-Security实现)。但是壁垒页面(http://ws.apache.org/axis2/modules/rampart/1_2/security-module.html)缺少示例,并且示例文件没有真正记录。所以我的问题是:添加加密(和签名)的最简单方法是什么?我必须在 services.xml 中添加什么,我必须编写一个 policy.xml 吗?我必须给客户的开发人员什么(除了 WSDL)?如果您能给我指一个好的教程,那将很有帮助,谢谢等...
security - 是否可以在 Tomcat 中进行 TLS 握手事件?
我在启用 TLS 的 Tomcat 中运行应用程序(Web 服务)(客户端和服务器都有证书)。
我希望我的应用程序能够在 TLS 握手失败时发送审核消息(日志记录)。例如,我想在以下时间记录:
- 客户端证书已过期,
- 客户端证书未知(不在服务器信任库中)
- 任何其他握手失败
为了做到这一点,我可以捕捉和处理任何事件吗?
我的应用程序是基于 Web 服务的,并且在 tomcat 中运行。Tomcat 正在处理所有网络和 TLS 层,而应用程序并没有意识到这一点。
由于我自己没有打开任何套接字,我应该在哪里捕获这个异常?
wcf - 使用 WCF 发送签名请求并接收未签名响应
我正在与一个 .NET 开发团队合作,他们试图与使用 WS-Security 的 Web 服务进行交互,尽管该服务需要签名请求,但它只返回未签名的响应。
团队知道使用 WSE 调用服务的方法,但他们需要使用 WCF,所以任何人都可以建议如何配置 WCF 以发送签名请求并接收未签名响应?
TIA
web-services - 标准 Web 服务 v 安全 Web 服务
作为项目的一部分,我在期待中提出这个问题。我过去有开发和使用 Web 服务的经验,我对此很熟悉。然而,有人告诉我,作为下一个项目的一部分,我将需要使用“安全”网络服务。您能否提供一些关于实现这些而不是标准的额外开发任务的见解,我敢说它不安全的 Web 服务?
干杯