讨论:WebService安全案例
以前写过一些简单的WebService,安全性要求不高,直接在SoapHeader中放一个Key来验证。
上周接了个通用性、安全性要求较高的Webservice项目,这才发现WebService一但提到安全,那它就是个复杂和前卫的东西。中文资料少之又少,安全标准多之又多,让你眼花缭乱,查了N天资料,现在一行代码没写,还头疼的厉害。准备用WS-Security标准来做,微软有现成的WSE3.0,但你构造的方法别人调用是否方便呢,比如Asp用户、PHP用户、JAVA用户、Dephi用户......反正我看WSE出来的XML多了N多“不明节点”,让用户自己一个一个添加?WSE还有其它技巧?我还考虑不用WSE而是自己用SSL+数字签名,身边没人探讨,自己也拿不准,郁闷。
现在很头疼,思维混乱,大家讨论下,WebService安全你们有何高见?有什么文章或案例可供参考。
------解决方案--------------------请参考:
http://vme.cnblogs.com/archive/2005/08/12/213251.html
http://www.itpost.cn/static/java/Security/20055245416_3703749.shtml
------解决方案--------------------http://www.51aspx.com/S/WebService.aspx
http://www.51aspx.com/Tags/15
------解决方案--------------------http://vme.cnblogs.com/archive/2005/08/12/213251.html
http://www.microsoft.com/china/msdn/events/webcasts/shared/webcast/episode.aspx?newsID=1242442
------解决方案--------------------学习一下
------解决方案--------------------mark,学习