Аутентификация веб-сервисов - лучшие практики?
Это может быть неправильный способ сделать это. Но я решил проблему с помощью функции подстроки.
Select max(start_ts), min(start_ts)from db where SUBSTR(start_ts, 0,9) ='13-may-2016'
, используя это, я смог получить временную метку max и min.
3 ответа
Самый легкий способ обработать его через множество платформ состоит в том, чтобы использовать Базовую аутентификацию HTTP и HTTPS для транспортного уровня. Безопасность WS была бы хороша, если Ваши потребности идут вне простого имени пользователя/пароля, но поддержка собирается варьироваться вполне немного между платформами. Аутентификация HTTP поддерживается каждой достойной реализацией SOAP.
Если бы Вы должны прокрутить все это сами и не можете использовать HTTPS, я предложил бы основанную на хеше часть UsernameToken безопасности WS. Это довольно безопасно и довольно легко реализовать, пока Ваши библиотеки имеют хеш-функции.
Если бы Вы делаете веб-сервисы, я не полагался бы на HTTP для аутентификации.
Безопасность WS в целом является слишком большой.
] То, как я справлялся с этим в прошлом, заключается в использовании стандартных возможностей WS-*. [
] [] Вместо использования функции аутентификации мы включили функцию целостности заголовка сообщения. Это требует, чтобы обе стороны диалога имели доступ к паре открытого/закрытого ключа и обнаруживали любое вмешательство в поле имени пользователя в заголовке. Поэтому вы можете быть уверены, что тот, кто отправил сообщение и установил идентификатор пользователя, имеет доступ к закрытому ключу. [
] [] Это обеспечивает разумный уровень целостности при правильном управлении ключами. [
]