网站怎样绕过360认证,织梦本地做的网站内网访问不,十大不收费的网站,连云港做网站公司安全对于 Web Services 来讲至关重要。但是#xff0c;不管是 XML-RPC 还是 SOAP 规范都没有做任何明确的安全或认证要求。
有三个特定的与 Web Services 相关的安全问题#xff1a; 保密性认证网络安全
保密性如果一个客户端发送一个 XML 请求到一台服务器#xff0c;我们…安全对于 Web Services 来讲至关重要。但是不管是 XML-RPC 还是 SOAP 规范都没有做任何明确的安全或认证要求。
有三个特定的与 Web Services 相关的安全问题 保密性认证网络安全
保密性如果一个客户端发送一个 XML 请求到一台服务器我们能否保证通信过程的保密性
答案在这里 XML-RPC 和 SOAP 主要运行于 HTTP 之上HTTP 支持 SSL通信可以通过 SSL 进行加密SSL 是一个久经考验并被广泛应用的技术单个的 web service 可能会由一系列的应用组成。例如一个大型服务可能会把三个其他应用的服务捆绑在一起。在这种情况下SSL 是不够的每个服务路径的节点都需要对消息进行加密每个节点都代表一个潜在的薄弱的环节。目前为止还没有就此问题达成一个一致的解决方案但是一个很有前景的解决方案是 W3C XML 加密标准。这一标准为整个或部分 XML 文档的加密和解密提供了一个框架。更多信息查看
http://www.w3.org/Encryption。 认证如果一个客户端连接到一个 web service我们该如何识别用户该用户被授权使用服务了吗
可以考虑以下选项但目前还没有达成一个明确的强大授权方案。 HTTP 包含内置基本和摘要式身份验证支持因此服务可以像目前 HTML 文档的保护那样进行保护。SOAP 数字签名(SOAP-DSIG)使用公钥来对 SOAP 消息进行数字签名。它允许客户端或服务器端验证对方的身份。更多信息参考 http://www.w3.org/TR/SOAP-dsig。结构化信息标准促进组织(OASIS)目前正致力于安全断言标记语言(SAML)的研发。
网络安全这个问题目前还没有一个轻松的答案它一直是有一个具有争议的问题。目前如果你真想对 SOAP 或者 XML-RPC 消息进行过滤一个可行的办法就是去将所有 HTTP POST 请求进行过滤将其内容类型设置为 text/xml。
另外一个选择是过滤 SOAPAction 的 HTTP 头属性。防火墙厂商们目前也在致力于用于过滤 web service 流量的工具的开发。
原文链接
http://www.tutorialspoint.com/webservices/web_services_security.htm
