【问题标题】:Implementing WS-Security at the Application Level在应用程序级别实现 WS-Security
【发布时间】:2013-09-03 19:53:37
【问题描述】:

我正在尝试基于 JAX-WS(使用 JBoss AS 7.1.1)构建一个肥皂服务,并且我还需要实现安全性。数据将是敏感的,因此它将通过 HTTPS。但是,我需要确定客户,并确保只有他们才能为其组织执行操作。

从外观上看,我在 JBoss 文档(和其他 JAX-WS 提供程序文档)中看到的所有内容都表明需要编辑多个 .xml 文件(一些在应用服务器层)。

我真的在寻找一种方法,我可以在我的服务中使用 SOAP 标头调用一个类,并且我可以在那里执行验证/身份验证/授权。非常感谢有人能够指出我正确的方向。

【问题讨论】:

    标签: java soap jboss jax-ws ws-security


    【解决方案1】:
    • 您始终可以随请求(例如,除了普通参数之外的用户和密码)显式发送身份验证数据。您必须确保连接已加密。

    • 您可以使用 公钥/私钥 进行优化:首先服务器发送其公钥,客户端使用该公钥加密用户/密码,然后服务器可以解密它使用它的私钥。由于在请求的基础上这可能过于昂贵,服务器可以在一定时间内发出 token 客户端可以在以下请求中发送(因此令牌是一种建立 会话)。

    话虽如此,而且我知道有时 JBoss 安全设置有多么繁琐,你必须非常仔细地实施和测试,否则你可能会打开一些安全漏洞(令牌可能泄漏、会话可能被捕获、令牌失效、SSL 连接在 Web 服务器中终止、明文密码保留在 RAM 中并在磁盘上被调出等)。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2021-10-26
      • 2011-02-28
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-02-07
      • 2011-07-23
      相关资源
      最近更新 更多