TLS与HTTP摘要与WS-Security

问题描述 投票:1回答:1

为了实现SOAP Web服务,每种安全解决方案的优点和缺点是什么

  • TLS(证书)
  • HTTP摘要式身份验证
  • WS-Security(SOAP摘要认证)

单独的TLS证书是否会为后者或多或少的冗余提供足够的安全性,还是我还应该使用HTTP摘要或/和WS-Security?特别是,WS-Security对TLS / HTTP级别的身份验证和安全性有何益处?

web-services http security ssl soap
1个回答
2
投票

这些是针对不同任务的不同技术:

  • TLS: 保护客户端和服务器之间的消息传输。不提供客户端身份验证(除非使用客户端证书)。
  • HTTP摘要式身份验证: 为传输提供客户端身份验证。不提供运输安全。
  • WS-Security :(根据我对Wikipedia article的理解): 集成防止嗅探和修改消息本身的保护,独立于传输。通过使客户端对消息进行签名来提供客户端身份验证。

如果您熟悉邮件传输,则WS-Security类似于使用PGP或S / MIME对端到端邮件进行加密,并对邮件进行签名以证明邮件传输者是谁。相反,TLS仅保护邮件客户端和邮件服务器之间或邮件服务器之间的传输,即传输中的数据但不是静止的数据。邮件传输中的身份验证仅验证特定的跃点,而不是端到端。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.