web服务的安全性(REST和SOAP)

Question

我正在研究web服务安全方面的最新进展。我需要解决所有的解决方案，解决有关识别，访问控制，传输相关的问题，如数据完整性，保护，不可否认。

因此，我获得了一些现实世界的解决方案来满足这些需求，我发现了基于SOAP的web服务：

识别:WS-安全框架

身份验证:可扩展访问控制标记语言(XACML)

授权

• 可扩展权限标记语言(XrML)
• XML密钥管理(XKMS)
• 安全断言标记语言
• .NET护照
• 知己
• WS-安全框架
• XML加密
• 安全套接字层(SSL)
• WSS

而且几乎所有这些都可以使用spring安全实现。

另一方面，RESTful web服务的安全性较低。基于web的SSL/TLS是一种很好的加密解决方案，但其他安全协议确实存在，例如：

• OAuth:用于facebook，twitter，无令牌交换
• OpenID:由google使用
• CAS
• LDAP
• 克贝罗斯
• 人物角色
• BrowerID

另一种解决方案可能是将企业总线中的安全性集成为服务()。

所以我的问题是:还有什么其他的解决办法我应该知道吗？

Answer 1

所提供的列表仅涉及web服务的身份验证和授权，web服务是安全的一个非常小的组件。大多数OWASP前十应用于web服务。