加入收藏 | 设为首页 | 会员中心 | 我要投稿 东莞站长网 (https://www.0769zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

浅谈Web服务安全怎样保证

发布时间:2022-04-20 10:47:19 所属栏目:安全 来源:互联网
导读:Web服务安全对于网站运营商来说是至关重要的,但是,记住,今天的Web服务的主体是基于Web之下的授权的技术,我们称之为HTTP。从而,所有的常见的确保Web安全的应用程序基本的认证和SSL是最常见的同Web服务一起工作的很好。 这些安全技术对各种的在线商务事务
         Web服务安全对于网站运营商来说是至关重要的,但是,记住,今天的Web服务的主体是基于Web之下的授权的技术,我们称之为HTTP。从而,所有的常见的确保Web安全的应用程序——基本的认证和SSL是最常见的——同Web服务一起工作的很好。
 
         这些安全技术对各种的在线商务事务处理发挥了令人吃惊的影响已经有很多年了。
 
         尽管如此,但是组织所具有的关于基于Web的安全策略的主要问题是通常的解决方法例如SSL有一点稍显笨拙,因为他们通常确保了整个线路传输的协议的安全,而不是只针对在协议之上传输的SOAP消息的。此外,对许多基于信号的集成项目,在信息到达他们的目标终点之前,一些中间步骤是必须的,同时传讼露别的安全策略让这些信息在各个中间检查点并不安全。
 
         为了获得更好的控制级别和防止中间的安全问题,各种组织所作的基于SOAP的信息集成通常想要的都是在信息层确保安全而不是在传输层。这所意味的是信号自身确保它的安全,而不依赖于传送。当安全只限于信息的时候一些事情变得很显然。首先,通常为大多数Web 服务所提供的SSL能力会被我称之为信号安全的东西替代,而信号安全也将成为为所有的客户和服务方交互安全的信号的必须。第二,安全信息将会被信号自己携带。第三,除非中间或者最终节点拥有正确的安全基础构造同时是可信任的,否则信号会仍然保持安全并不可读取,然后被往前转递到下一个节点。
 
Web 服务安全:WS-Security规范
 
你如何确保信号的安全,而不是传输的安全?答案在于OASIS标准。WS-Security,作为一个所有工业认可的推荐在2004年4月发布。WS-Security所定义的是一个把三层安全策略加到SOAP信号中去的机制。
 
认证标志:WS-Security认证标志使得客户可以以一种标准的方式发送包含在SOAP消息头中的用户名和密码或用于认证目的的X.509认证。尽管SAML和Kerberos标志普遍使用,但是关于这些标志的WS-Security规范也还没有发布。XML加密:WS-Security被使用在W3C的 XML加密标准,从而使得SOAP信号体和它的组成部分被加密以确保机密性。通常的,不同的加密算法都被支持——在Oracle Application Server 10g Release 10.1.3中,被支持的算法是3DES, AES-128和AES-256。
 
XML数字签名:WS-Security被使用在W3C's XML数字签名标准中,从而使得SOAP消息可以被数字签名确保消息的整体性。通常的,签名时一个有消息本身的内容计算产生的。如果消息在发送途中被更改,数字签名就不可用了。Oracle Application Server支持DSA-SHA1, HMAC-SHA1, RSA-SHA1, 和 RSA-MD5算法。
 
为了提供一个简单的在运转的WS-Security的用况,我用下一中所提供的认证的属性——用户名,密码认证标志——并使用getEmpSalary方法把他们应用到HRService Web服务
 
在我点击了安全向导上的OK之后,列表一中的Oracle-specific 描述符文件就产生了(用最小的命名空间表示)。注意到WS-Security运行时能力被元素使能。服务端对用户名和密码口令认证的需要被元素定义。
 
代码列表一:oracle-webservices.xml.中的WS-Security服务器配置
 
<oracle-webservices><webservice-description name="HRService"><port-component name="HRServicePort"><runtime enabled="security"><security><inbound><verify-username-token password-type="Plain Text"require-nonce="false"require-created="false"/></inbound></security></runtime><operations><operation name="getEmpSalary"input="{http://server.omag.com}getEmpSalaryElement"/></operations></port-component></webservice-description></oracle-webservices>一旦这些配置被布置在一个一般的Web服务Ear文件。在Oracle应用程序服务器端运行时的管理配置文件wsmgmt .xml会被这个信息更新。我在上个月的Web服务管理专栏中用下表的方式解释了这个过程。在布置以后,这个Web服务也就可以用WS-Security的用户名密码标志来测试了。

(编辑:东莞站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.0769zz.com/ All Rights Reserved. 东莞站长网