Я добавляю безопасность к своему веб-сервису и принял решение подписаться Timestamp
и Token
.
При чтении документов я нашел много примеров, где они подписываются Body
из SOAP
сообщение.
Мой вопрос: что является лучшим для подписания?
Из того, что я понимаю подписание Body
мог привести к проблемам производительности если Body
является довольно большим.
Спасибо.
Вы обязательно должны подписать весь текст сообщения.
XMLDSIG выполняется на дайджестах ссылок на части, определенные в
Если клиент отправляет запрос WS-Secure SOAP на сервер по HTTPS, я понимаю, что даже если кто-то перехватил трафик, он не сможет расшифровать его, чтобы просмотреть сообщение SOAP, и, следовательно, не сможет с ним повлиять. Поэтому я не вижу необходимости в двустороннем SSL.
При использовании WS-Secure поверх HTTPS можем ли мы не позволить HTTPS позаботиться о шифровании и просто использовать WS-Secure для аутентификации (т. Е. Подписывать какую-то часть сообщения SOAP либо меткой времени, либо телом, либо чем-то еще)?