WS-Security协议是否需要SSL

Question

WS-Security协议是否需要SSL来加密消息和使用证书对客户端进行身份验证，或者WS-Security协议独立于SSL，因此它不使用SSL来执行加密和证书身份验证？

谢谢

Answer 1

SSL (以及较新的TLS)显然是WS-Security的替代方案，所以我怀疑ws-security是否需要SSL。http://en.wikipedia.org/wiki/WS-Security#Transport_Layer_Security_.28Without_WS-Security.29

Answer 2

您可以使用WS-Security进行加密和签名。也就是说，SSL是一种更容易理解的带有very low overhead的协议。SSL/TLS is not computationally expensive any more

因此，如果需要，您应该首先考虑使用SSL和WS-Security。如果使用基于安全令牌格式(如SAML、Kerberos或X.509 )的身份验证，则可以选择WS-Security。