Web Service指南之： Web Service的安全性

安全对于web service至关重要，然而XML-RPC和SOAP都没有任何明确的对于安全性和认证的要求。

一下针对web service三个方面的安全问题：
    1，保密；
    2，认证；

    3，网络安全。

保密

如果客户端发送XML请求服务端，我们能确保这次通讯保持保密吗?
答案如下:
1,XML-RPC和SOAP主要运行与HTTP。
2,HTTP支持安全套接层(SSL)。
3,通信使用SSL加密.
4,SSL是一项被广泛不熟的成熟技术。


一个web service可能有一系列的应用组成。例如，一个大的服务可能聚合了好几个应用的服务。
在这种情况下，SSL就不合适了；在服务路径的每一个节点信息度需要被加密，每一个节点
都意味着一个潜在的薄弱环节。当前，对于这一问题还没有达成一致的解决方案。但是
W3C XML加密标准是一个被看好的方案。这个标准提供了一个加密，解密XML文件的框架。
详情如下：http://www.w3.org/Encryption

认证

如果客户端连接web service，我们如何识别出用户?这个用户被授权使用这个服务了吗？
再高级别的认证方案下，可以考虑下面几个选项，但是对于这一问题还没有清晰一致的
答案。
    1，Http内置有基本简单的身份验证，一次，服务可以被以当前Html文件相同的方式保护。
    2，SOAP DIgital Signature(SOAP-DSIG)利用公钥密码对SOAP消息进行数字签名。
          详情如下:http://www.w3.org/TR/SOAP-dsig

    3,结构化信息标准促进组织(OASIS)致力于安全断言标记语言(SAML).

网络安全

当前对于这个问题没有一个简单的答案，这一直是一个有争议的问题。目前来讲，如果你
真的要下决心过滤掉SOAP或XML-RPC消息，一个可行的方法就是过滤掉所有的那些连接方式
是text/xml的HTTP POST请求。
另一个可用的方法是过滤掉SOAPActionHTTP头属性。防护墙提供商目前也在明确的开发工具

来过滤web service通信。

原文链接:http://www.tutorialspoint.com/webservices/web_services_security.htm