WebService 安全 WS-Security

WS-Security

    WS-Security(Web服务安全)是一种提供在Web服务上应用安全的方法的网络传输协议。2004年4月19日,OASIS组织发布了WS-Security标准的1.0版本。 2006年2月17日,发布了1.1版本。

 

    WS-Security 还提供关联安全性令牌和消息的通用机制。WS-Security 不需要特定类型的安全性令牌。它在设计上就是可扩展的(例如支持多安全性令牌格式)。举例来说,客户机可能会提供身份证明和他们有特定商业认证的证明。

 

    另外,WS-Security 还描述如何对二进制安全性令牌编码。此规范特别描述如何对 X.509证书和 Kerberos票据编码以及如何加入难于理解的加密密钥。它还包括可以用于进一步描述消息中包含的凭证特征的扩展性机制。

 


    WS-Security 自身并不保证安全性,也不提供完整的安全性解决方案。WS-Security 是一种构件,将安全特性放入一个SOAP消息的消息头中,在应用层处理。这样协议保证了端到端的安全。实现 WS-Security 并不意味着应用程序不会受到攻击或者安全性不会受到威胁。

 

WSS4J

    WSS4J实现了WS-Security,是AXIS的安全模块,但也可以用于其他Web Services框架(例如XFIRE,CXF)。

 

    Services框架中以handler方式工作,在发送SOAP消息前进行签名、加入认证凭据和加密,在收到SOAP消息后进行解密、认证和验证签名等安全工作。使用者可以自己编写handler处理SOAP消息以保证安全

你可能感兴趣的:(Webservice,postman)