首頁 >後端開發 >php教程 >关于web服务的安全问题

关于web服务的安全问题

WBOY
WBOY原創
2016-06-06 20:42:351082瀏覽

之前讨论过这个问题:
为什么很多第三方接口,都改成了基于http,直接传递json数据的方式来代替webservice?
各位同学基本认同基于http协议的json数据格式来做web服务。现在想问一下,对于安全性要求应该怎么做。
我现在要设计的一套东西,安全要求有两点。
1.传输方面 要求使用TLS对会话过程加密
2.传递的数据本身 要使用ws-security规范要求加密

传输方面,我明白。但是在自身数据使用ws-security规范方面,有没有有经验的兄弟给解释一下。如果是我们使用http的json格式,怎么设计,能在安全方面能通过ws-security规范要求?因为我看这个规范主要是对着基本soap的webservice设计的。

回复内容:

之前讨论过这个问题:
为什么很多第三方接口,都改成了基于http,直接传递json数据的方式来代替webservice?
各位同学基本认同基于http协议的json数据格式来做web服务。现在想问一下,对于安全性要求应该怎么做。
我现在要设计的一套东西,安全要求有两点。
1.传输方面 要求使用TLS对会话过程加密
2.传递的数据本身 要使用ws-security规范要求加密

传输方面,我明白。但是在自身数据使用ws-security规范方面,有没有有经验的兄弟给解释一下。如果是我们使用http的json格式,怎么设计,能在安全方面能通过ws-security规范要求?因为我看这个规范主要是对着基本soap的webservice设计的。

后面那个加密应该是之前应对HTTP旧场景下的加密措施,现在HTTPs已经是超强加密了,不需要在数据层面再加一次密了。

ws-security,我帮你搜了一下,这个东西是在SOAP数据包结构之上的数据,确保数据合法性的做法无非就是使用签名,但是签个名而已有必要使用这种臃肿的标准吗?看看现在流行的做法一般是通过在每个调用端分配一个私钥,请求的时候把请求的所有参数用私钥做一段摘要,和请求参数一起发给服务器,然后服务器拿这个私钥重新做一遍摘要来验证请求者的身份。

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn