Что подписаться при подписании сообщения с ws-безопасностью
Я добавляю безопасность к своему веб-сервису и принял решение подписаться Timestamp и Token.
При чтении документов я нашел много примеров, где они подписываются Body из SOAP сообщение.
Мой вопрос: что является лучшим для подписания?
Из того, что я понимаю подписание Body мог привести к проблемам производительности если Body является довольно большим.
Спасибо.
2 ответа
Вы обязательно должны подписать весь текст сообщения.
XMLDSIG выполняется на дайджестах ссылок на части, определенные в
Если клиент отправляет запрос WS-Secure SOAP на сервер по HTTPS, я понимаю, что даже если кто-то перехватил трафик, он не сможет расшифровать его, чтобы просмотреть сообщение SOAP, и, следовательно, не сможет с ним повлиять. Поэтому я не вижу необходимости в двустороннем SSL.
При использовании WS-Secure поверх HTTPS можем ли мы не позволить HTTPS позаботиться о шифровании и просто использовать WS-Secure для аутентификации (т. Е. Подписывать какую-то часть сообщения SOAP либо меткой времени, либо телом, либо чем-то еще)?