我的客户端建议,在WSDL中使用WS-Policy条目(使用WS-SecurityPolicy标准,这似乎是推荐的方法)实现Web服务可能会导致与调用Web服务的客户端不兼容的问题。我的第一个问题是,他的担忧是否正确?如果没有,我如何向我的客户证明使用 WS 是安全的?我找不到关于这个主题的任何内容。
如果确实可能发生兼容性问题,我需要找到一种不同的方法来实现WS-Security需求(如签名部分等),而无需使用JavaEE API。我也找不到关于这个主题的任何内容。我唯一能找到的是关于独立的Web服务,但我不想要那个,我想要一个Web应用程序,我需要使用JavaEE API(所以没有Spring)。
任何帮助将不胜感激。
如果您有预先存在的客户端已经使用此 Web 服务,那么是的,如果您添加 WS-Security,它将破坏兼容性。
但是,如果没有人在使用它,或者它还没有被开发出来,这将如何导致兼容性问题?
就我个人而言,我认为WS-Security相当复杂,特别是在签名和加密领域,所以如果你的客户说一些客户可能没有实现Web服务的技能,我会倾向于同意他的观点。