我对SOAP理论了解太少,需要一些帮助
想象一下一个web服务和一个客户端。还有一个网关(面向互联网),请求必须通过它进行中继
客户端使用客户端证书(传输安全性)与网关进行身份验证
网关反过来使用消息凭据向web服务进行身份验证。
我的问题是:网关在收到web服务的响应后,将Security头转发给客户端,这合理吗?
我认为这"感觉"应该只针对GW->Web服务链接,因为客户端在请求中没有使用任何消息安全性,但我是对还是错?
您谈论的是网络堆栈的三个完全不同的层。是否使用HTTPS加密传输与是否希望使用WS-I安全性保护消息负载完全无关。
关于WS-Security的两篇好文章(至少从Microsoft.Net的角度来看):
-
http://msdn.microsoft.com/en-us/library/ms788756%28v=vs.110%29.aspx
-
http://msdn.microsoft.com/en-us/library/ms977327.aspx
回答您的问题:如果您有一个SOAP安全标头,那么您ARE使用WS-security,客户端IS将其传递到您的web服务链接。通常,这对客户端代码和服务器代码都是透明的;它由.Net库中的"中间件"处理。