用于实施肥皂Web服务,这些安全解决方案中的每一个的好处和缺点
- TLS(证书)
- HTTP Digest Authentication
- ws-security(SOAP Digest Authentication)
单独使用TLS证书会为后者或多或少的多余提供足够的安全性,还是我还应该使用http摘要或/和/和WS安全性?特别是,WS - 安全性给予TLS/HTTP的好处是什么?
这些是不同任务的不同技术:
- tls:
确保客户端和服务器之间消息的传输。不提供客户端的身份验证(除非使用客户端证书)。 - HTTP Digest身份验证:
为运输提供客户端身份验证。不提供运输安全。 - ws-security :(从我对Wikipedia文章的理解中):
将防止嗅探和修改整合到信息本身中,独立于运输本身。还通过使客户端签名消息来提供客户端身份验证。
如果您熟悉邮件传输,则WS安全性类似于使用PGP或S/MIME对邮件进行加密,并签署邮件以证明发件人是谁。相反,TLS仅确保邮件客户端和邮件服务器之间的传输或邮件服务器之间的传输,即运输中的数据,但不在静止状态。邮件传输中的身份验证仅验证特定的跳跃,而不是端到端。