Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Web services 为什么Web服务安全性需要单独的标准?_Web Services_Security_Websphere_Soa_Ws Security - Fatal编程技术网
Fatal编程技术网
  • web-services/
  • Web services 为什么Web服务安全性需要单独的标准?

Web services 为什么Web服务安全性需要单独的标准?

web-services security websphere

Web services 为什么Web服务安全性需要单独的标准?,web-services,security,websphere,soa,ws-security,Web Services,Security,Websphere,Soa,Ws Security,如果存在ssl通信来实现此目的,为什么需要WS-security来提供令牌、签名等?如何使用WS-security提供ssl无法提供的完整性、机密性和真实性?简单说明为什么使用WS-security(如果可能,您可以提供任何示例) 如果paypal的业务合作伙伴在其网站上使用paypal的web服务。如果该web服务要求提供其客户的用户名和密码,paypal如何从这些业务合作伙伴处保护客户数据?客户、paypal及其业务合作伙伴之间如何进行soap交易?请您解释WS-security概念(提供完

如果存在ssl通信来实现此目的,为什么需要WS-security来提供令牌、签名等?如何使用WS-security提供ssl无法提供的完整性、机密性和真实性?简单说明为什么使用WS-security(如果可能,您可以提供任何示例)

如果paypal的业务合作伙伴在其网站上使用paypal的web服务。如果该web服务要求提供其客户的用户名和密码,paypal如何从这些业务合作伙伴处保护客户数据?客户、paypal及其业务合作伙伴之间如何进行soap交易?请您解释WS-security概念(提供完整性、机密性和真实性)在这种情况下?

SSL(TLS)安全性将保护用户免受窃听。但它不会保护您(您的站点)免受恶意用户的攻击。您仍然容易受到缓冲区溢出、SQL注入等攻击。

有关一个很好的示例,请观看Samy Kamkar的“我是如何认识您的女朋友”演讲(短)和(长)。Samy解释了使用web应用程序漏洞入侵使用SSL的人的帐户(在本例中是Facebook)的原因。

Good day people

是一种安全技术。它的目标是保护用户的信息(信用卡、地址、电话号码等)不被黑客窃取。SSL证书将保护网站,每个在网站上连接的人都将确保有一个安全的环境

安全性的质量取决于安装在相关网站上的证书类型,无论是DV(域验证)、OV(组织验证)、EV(扩展验证)(如果存在SGC技术)

如果您有任何其他问题,可以提供更多详细信息。

主要区别在于HTTP相关的安全机制保护web服务的传输层,WS-security解决了更高级别的抽象。
同样,您也可能有更高级别(例如:仅加密web服务中的特定密码字段)或更低级别(如VPN)的安全解决方案

不同的场景需要在不同的层中采取不同的安全措施

一些例子: Web服务不限于HTTP传输—您的环境可能包括其他传输(如使用JMS、MSMQ等进行消息传递)。在Web服务层(而不是传输层)设置安全性将允许您为整个环境使用通用机制

另一个问题是,http级别的安全信息随着您在Web服务堆栈中的位置越来越高而“峰值化”——例如,在许多地方,您不会直接访问服务提供者,而是通过中央ESB(企业服务总线)访问服务提供者。ESB充当服务的中心集线器,还可以执行日志记录、路由、发布到多个服务端点等任务。 当使用ESB时,http连接在ESB处断开,服务获得一个来自ESB的新http连接-因此http安全机制无法提供端到端安全性。 但是,即使消息通过ESB路由,WS-Security信息也可以保留

你在上一条评论中描述的内容似乎与上一个答案无关

你的意思是他们有一种类似OpenID或kerberos的机制,你可以从一个站点使用你的凭证访问另一个站点? 这并不特定于web服务,而且有各种现有的协议可以做到这一点(我猜他们使用的是现有的协议)。当然,可以使用WS-Security标准开发类似的机制。 例如,kerberos协议的工作原理如下: 1.用户向安全服务器进行身份验证 2.安全服务器用一条签名消息(称为ticket)进行回复,该消息表示“用户123已通过身份验证” 3.用户使用此消息证明他确实是第二个站点的用户123,而第二个站点不需要实际获取他的用户名密码。
此协议基于加密和加密签名-两者都可以使用WS-security使用。

SSL和WS-security之间的主要区别是,SSL是传输级别,但WS-security是消息级别…换句话说,当您使用SSL时-消息一离开传输通道-它就不安全。但是使用WS-security我消息仍然是安全的,消息安全性独立于传输通道

使用WS-Security

  • 身份验证-->用户名令牌
  • 不可否认-->签名[XML]
  • 签名/WS-Security]机密性-->加密[XML 加密/WS-Security]
  • 完整性-->签名[XML签名/WS-Security]
纯SSL提供身份验证/机密性和完整性,但不提供不可否认性

两条腿的OAuth是支持SSL上的不可否认性的标准

感谢…

WS或Web服务安全性是SOAP的一个扩展,它将安全性应用于不同的Web服务。WS-Security使用XML签名和加密来提供端到端的安全性。此协议的主要重点是指定如何在用户和服务提供方之间的消息交换中强制实现完整性和机密性n web,如Paypal。该服务还允许不同安全令牌格式的通信,如SAML、X.509、Kerberos等。与HTTP协议不同,HTTP协议主要侧重于在传输级别提供安全性,WS-security机制在应用层实现更高级别的抽象,并提供加密的安全解决方案

由于不同平台的安全需求不同,这两个标准着重于满足此类安全平台的不同需求。借助于此安全性,端到端安全性、不可否认性、反向代理、传输绑定等都得到了改进

一般来说,你可以说这项服务是另一种提供更好服务的方法