WebService 安全 WS-Security

WS-Security

    WS-Security（Web服务安全）是一种提供在Web服务上应用安全的方法的网络传输协议。2004年4月19日，OASIS组织发布了WS-Security标准的1.0版本。 2006年2月17日，发布了1.1版本。

 

    WS-Security 还提供关联安全性令牌和消息的通用机制。WS-Security 不需要特定类型的安全性令牌。它在设计上就是可扩展的（例如支持多安全性令牌格式）。举例来说，客户机可能会提供身份证明和他们有特定商业认证的证明。

 

    另外，WS-Security 还描述如何对二进制安全性令牌编码。此规范特别描述如何对 X.509证书和 Kerberos票据编码以及如何加入难于理解的加密密钥。它还包括可以用于进一步描述消息中包含的凭证特征的扩展性机制。

 

    WS-Security 自身并不保证安全性，也不提供完整的安全性解决方案。WS-Security 是一种构件，将安全特性放入一个SOAP消息的消息头中，在应用层处理。这样协议保证了端到端的安全。实现 WS-Security 并不意味着应用程序不会受到攻击或者安全性不会受到威胁。

 

WSS4J

    WSS4J实现了WS-Security，是AXIS的安全模块，但也可以用于其他Web Services框架（例如XFIRE，CXF）。

 

    Services框架中以handler方式工作，在发送SOAP消息前进行签名、加入认证凭据和加密，在收到SOAP消息后进行解密、认证和验证签名等安全工作。使用者可以自己编写handler处理SOAP消息以保证安全