SOAP 中的 Web 服务安全性
Web service security in SOAP
为什么 SOAP 协议引入了 XML 加密和数字签名的概念(以保证客户端和服务器之间交换的数据的机密性和完整性),而关于安全性的一切 (完整性、机密性和身份验证)可以通过简单地使用 HTTPS 协议来保证吗?
主要是因为 SOAP 是一种可以在 https 以外的其他传输协议 (TCP/named pipes/MSMQ) 上使用的协议。这些不提供与 https 相同的保护。
此外,正如@artbristol 指出的那样,https 保护两个端点之间的消息。有关详细信息,请参阅 Vitorrio Bertocci 的 article here。当然,您可以在所有端点之间使用 https,但是进行解密和加密的机器可以访问明文(例如,它可能会记录在 Web 服务器日志中)。
为什么 SOAP 协议引入了 XML 加密和数字签名的概念(以保证客户端和服务器之间交换的数据的机密性和完整性),而关于安全性的一切 (完整性、机密性和身份验证)可以通过简单地使用 HTTPS 协议来保证吗?
主要是因为 SOAP 是一种可以在 https 以外的其他传输协议 (TCP/named pipes/MSMQ) 上使用的协议。这些不提供与 https 相同的保护。
此外,正如@artbristol 指出的那样,https 保护两个端点之间的消息。有关详细信息,请参阅 Vitorrio Bertocci 的 article here。当然,您可以在所有端点之间使用 https,但是进行解密和加密的机器可以访问明文(例如,它可能会记录在 Web 服务器日志中)。