使用对称密钥的WSIT用户名认证有多安全？

Question

我有一个ajax服务(通过glassfish公开)，它使用带有对称密钥的用户名身份验证来加密和验证客户端(链接)。

这个机制有多安全？这是否足以防止MITM攻击和数据嗅探？

Answer 1

看一看链接的文章，这看起来非常类似于标准的web身份验证，因为服务器有一个证书，客户机使用用户名/密码auth。若要进行身份验证，则使用共享密钥对通信进行加密。

因此，在此基础上，您的问题的答案类似于标准的web版本。假设客户端在运行时检查服务器证书的有效性，并且它拥有检查证书吊销等内容的方法，那么它很有可能受到防止MITM攻击的保护(除非服务器证书被破坏)。

数据嗅探将被保护以防止数据流的加密，而数据流出现在要执行的文档中是对称加密。