Основное отличие состоит в том, что механизмы безопасности, связанные с HTTP, защищают транспортный уровень веб-службы, а безопасность WS относится к более высокому уровню абстракции. поле в веб-службе) или более низкие уровни (например, VPN)
В разных сценариях потребуются разные меры безопасности на разных уровнях.
Некоторые примеры: Веб-службы не ограничены транспортом HTTP — ваша среда может включать другие транспорты (например, обмен сообщениями с использованием JMS, MSMQ и т. д.). настройка безопасности на уровне веб-служб (а не на транспортном уровне) позволит вам использовать общий механизм для всей среды.
Другая проблема заключается в том, что информация о безопасности на уровне http «стирается» по мере того, как вы продвигаетесь выше в стеке веб-сервисов — например, во многих местах вы не будете обращаться к поставщику услуг напрямую, а через центральную ESB (Enterprise Service Bus). ESB действует как центральный концентратор для служб, а также может выполнять такие задачи, как ведение журнала, маршрутизация, публикация в нескольких конечных точках службы и т. д. При использовании ESB http-соединение разрывается на ESB, и служба получает новое http-соединение. происходящие из ESB, поэтому механизмы безопасности http не могут обеспечить сквозную безопасность. Однако информация о безопасности WS может быть сохранена, даже если сообщения маршрутизируются через ESB.
То, что вы описываете в своем последнем комментарии, похоже, не связано с предыдущим ответом.
Вы имеете в виду, что у них есть такой механизм, как OpenID или kerberos, где вы можете использовать свои учетные данные с одного сайта для доступа к другому сайту? Это не является специфичным для веб-сервисов, и для этого существуют различные существующие протоколы (я предполагаю, что они используют существующий протокол). Конечно, аналогичный механизм можно разработать с использованием стандартов безопасности WS. Протокол kerberos, например, работает следующим образом: 1. Пользователь аутентифицируется на сервере безопасности 2. Сервер безопасности отвечает подписанным сообщением (называемым билетом), в котором говорится, что «пользователь 123 прошел аутентификацию» 3. Пользователь использует это сообщение для подтверждения что он действительно является пользователем 123 для 2-го сайта, без необходимости, чтобы 2-й сайт фактически получил его имя пользователя и пароль. Этот протокол основан на шифровании и криптографических подписях — и то, и другое доступно при использовании безопасности WS.
person
Ophir Yoktan
schedule
22.02.2011