Web services web服务的安全性(REST和SOAP)
我的第一篇文章在这里!我想得到一些关于web服务安全性的社区帮助 我正在研究web服务安全方面的最新技术。我需要解决识别、访问控制、传输相关问题(如数据完整性、保护、不可否认性)的解决方案 所以我找到了一些现实世界的解决方案来满足这些需求,我找到了基于SOAP的web服务的解决方案:Web services web服务的安全性(REST和SOAP),web-services,security,rest,soap,spring-security,Web Services,Security,Rest,Soap,Spring Security,我的第一篇文章在这里!我想得到一些关于web服务安全性的社区帮助 我正在研究web服务安全方面的最新技术。我需要解决识别、访问控制、传输相关问题(如数据完整性、保护、不可否认性)的解决方案 所以我找到了一些现实世界的解决方案来满足这些需求,我找到了基于SOAP的web服务的解决方案: 标识:WS-Security框架 身份验证:可扩展访问控制标记语言(XACML) 授权书 可扩展权限标记语言(XrML) XML密钥管理(XKMS) 安全断言标记语言(SAML) .NET Passport
- 标识:WS-Security框架
- 身份验证:可扩展访问控制标记语言(XACML)
- 授权书
- 可扩展权限标记语言(XrML)
- XML密钥管理(XKMS)
- 安全断言标记语言(SAML)
- .NET Passport
- 机密的
- WS-Security框架
- XML加密
- 安全套接字层(SSL)
- WSS
- OAuth:用于facebook、twitter,无需代币交换
- OpenID:由google使用
- 中科院
- LDAP、Kerberos
- 布劳里德
非常感谢只需补充一点,关于restful Web服务,开发人员可以使用TomcatServlet容器提供的安全性。这可以通过在server.xml和tomcat-users.xml中配置realm来实现。 此处的配置详细信息-> 而且最合适的是基于表单的身份验证。
ref:如果您想要更多地控制REST Web服务的安全性,那么您可以考虑实现自己的身份验证和RBAC(基于角色的访问控制)。只需在HTTPS头中的每个请求中使用用户名和密码,并在REST Web服务层上实现RBAC。您基本上可以添加Servlet过滤器,以便在请求实际移交给Web服务之前进行身份验证和授权
您可以选择,显然有不同的安全框架可用,但您必须选择最符合您需求的安全框架。前面的文章应该可以帮助您,我想说,对于REST或SOAP API(通常是无状态的),基于表单的身份验证通常是一个糟糕的选择。