如今,越来越多的 Web 服务是为内部使用而开发的,用于将应用程序连接在一起。我们没有 ESB 来控制和保护此 Web 服务,因此我猜测什么是保护它们的好方法。
我们尝试设置双向 SSL,但无法控制特定 Web 服务的授权。
我的需要是能够控制哪个应用程序正在调用我的 Web 服务以及该应用程序是否有权调用它。
我不喜欢 WS-Trust 和 Ws-Security,因为这会改变原始的 SOAP 消息,但似乎它们不是其他解决方案。
任何想法?
Thanks
在您的问题中,您提到您不想修改当前的 SOAP 消息 - 这意味着消息级安全性已经过时。
因此,您需要继续实施传输级安全性。
即使使用双向 SSL,您也可以根据用户证书的指纹对用户进行授权 - 如何执行此操作取决于您使用的堆栈。
其他选项是..
- 通过 HTTPS 进行基本身份验证
- 2足OAuth
区别在于,2-legged oauth 支持不可否认性,而 basic auth 则不支持。
无论您使用何种机制进行身份验证,您都可以使用 XACML 进行细粒度授权...
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)