我们正在更改我们的网络服务,以要求使用它们的应用程序提供有关请求数据的真实用户的信息。对于 REST 服务,我们使用 X-On-Behalf-Of HTTP 标头实现这一点。我们是否应该对 SOAP 服务执行相同的操作?或者最好将其放在自定义 SOAP 请求标头中?这方面的最佳做法是什么?
尽管答案取决于应用程序体系结构的内部结构以及您可能遵循的其他设计原则。
它的理想是保持Rest/SOAP服务实现几乎相同的安全模型,因此,如果您计划使用"X-On-Behalf-Of"HTTP,那么在SOAP服务的情况下也使用相同的HTTP也是有意义的。
但是,在 SOAP 的情况下,您使用 WS-Security 或某种自定义 SOAP 标头在每个 SOAP 调用中执行身份验证/授权,修改 SOAP 标头本身以获得额外的On-Behalf-Of' detail as well rather then Custom HTTP Header for代表 X 更有意义。
有关更多详细信息,请参阅消息 2 - WS 信任令牌交换请求部分。