Web services 基于SOAP的Web服务安全
我已经为我们的客户创建了一个Web服务,并使用带有PasswordDigest(带时间戳、nonce和加密密码)的用户名令牌来保护它。其中一个客户端使用的软件不支持PasswordDigest,只支持纯文本用户名和密码 我对SOAP头中的纯文本密码感到有些不舒服。但整个流量都使用HTTPS进行保护 我的问题:使用HTTPS,即使我将安全要求从PasswordDigest更改为PasswordText,它仍然足够安全吗 我的要求是: 必须使用用户名对客户端进行身份验证,因为我必须知道哪个客户端正在访问Web服务,并且 中间的任何人都不能在SOAP头中看到纯文本密码!Web services 基于SOAP的Web服务安全,web-services,https,ws-security,Web Services,Https,Ws Security,我已经为我们的客户创建了一个Web服务,并使用带有PasswordDigest(带时间戳、nonce和加密密码)的用户名令牌来保护它。其中一个客户端使用的软件不支持PasswordDigest,只支持纯文本用户名和密码 我对SOAP头中的纯文本密码感到有些不舒服。但整个流量都使用HTTPS进行保护 我的问题:使用HTTPS,即使我将安全要求从PasswordDigest更改为PasswordText,它仍然足够安全吗 我的要求是: 必须使用用户名对客户端进行身份验证,因为我必须知道哪个客户端正在
如果您使用的是HTTPS,您可能可以删除PasswordDigest并使用PasswordText,但是您需要确保您永远不支持不安全的请求。您可能还需要研究SOAP的扩展 至于你的问题,我不会害怕在HTTPS上使用明文密码,但正如@Anshu所说的,确保你的服务不会在HTTP上响应!另外,请注意,企业代理有效地对HTTPS流量执行MitM攻击,这在技术上是可能的,并且经常被看到 干杯