【发布时间】:2011-02-23 21:34:00
【问题描述】:
我正在为我的网络服务添加安全性并选择签署Timestamp 和Token。
在阅读文档时,我发现了很多例子,他们在SOAP 消息的Body 上签名。
我的问题是:什么是最好的签名?
据我了解,如果Body 很大,签署Body 可能会导致性能问题。
谢谢。
【问题讨论】:
标签: java .net security spring-security ws-security
我正在为我的网络服务添加安全性并选择签署Timestamp 和Token。
在阅读文档时,我发现了很多例子,他们在SOAP 消息的Body 上签名。
我的问题是:什么是最好的签名?
据我了解,如果Body 很大,签署Body 可能会导致性能问题。
谢谢。
【问题讨论】:
标签: java .net security spring-security ws-security
您绝对应该签署整个邮件正文。
XMLDSIG 在
【讨论】:
如果客户端通过 HTTPS 向服务器发送 WS-Secure SOAP 请求,我的理解是,即使有人嗅到了流量,他们也无法将其解密以查看 SOAP 消息,因此无法修改它。所以我认为不需要双向 SSL。
当通过 HTTPS 使用 WS-Secure 时,我们能否不让 HTTPS 负责加密,而只是使用 WS-Secure 进行身份验证(即对 SOAP 消息的某些部分进行时间戳或正文或其他签名)?
【讨论】: