web服务的安全性(REST和SOAP)

Question

我的第一篇帖子！我想在网络服务的安全性方面得到一些社区帮助。

我正在研究web服务安全方面的最新进展。我需要解决所有的解决方案，解决有关识别，访问控制，传输相关的问题，如数据完整性，保护，不可否认。

因此，我获得了一些现实世界的解决方案来满足这些需求，我发现了基于SOAP的web服务：

• 识别:WS-安全框架
• 身份验证:可扩展访问控制标记语言(XACML)
• 授权
  • 可扩展权限标记语言(XrML)
  • XML密钥管理(XKMS)
  • 安全断言标记语言
  • .NET护照

​

• 知己
  • WS-安全框架
  • XML加密
  • 安全套接字层(SSL)
  • WSS

​

而且几乎所有这些都可以使用spring安全实现。

另一方面，RESTful web服务的安全性较低。基于web的SSL/TLS是一种很好的加密解决方案，但其他安全协议确实存在，例如：

• OAuth:用于facebook，twitter，无令牌交换
• OpenID:由google使用
• CAS
• LDAP，Kerberos
• 人物角色，BrowerID

另一种解决方案可能是将企业总线中的安全性集成为服务()。

所以我的问题是:还有什么其他的解决办法我应该知道吗？还有其他框架吗？

非常感谢

Answer 1

补充一点是，对于restful the服务，开发人员可以使用tomcat容器提供的安全性。这可以通过server.xml和tomcat-users.xml中的领域配置来实现。配置的详细信息->http://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html

并且最适合于基于表单的身份验证。参考文献：http://www.onjava.com/pub/a/onjava/2001/08/06/webform.html?page=2

Answer 2

如果您希望更多地控制REST服务的安全性，那么可以考虑实现您自己的身份验证和RBAC(基于角色的访问控制)。只需在HTTPS上对头中的每个请求使用用户名和密码，并在REST Webservice层上实现RBAC。您基本上可以添加Servlet过滤器，以便在请求实际移交给Web服务之前进行身份验证和授权。

选择是您的，显然有不同的安全框架可用，但您必须选择哪些最适合您的需求。