《WebService安全》由会员分享,可在线阅读,更多相关《WebService安全(19页珍藏版)》请在金锄头文库上搜索。
1、Web Service 安全技术交流技术交流安全安全安全安全通道安全通道安全对登录方进行通道限制对登录方进行通道限制经过授权,登录验证后,方可使用通道通讯经过授权,登录验证后,方可使用通道通讯实例实例 VPN,Https数据安全数据安全对通讯数据的安全处理对通讯数据的安全处理安全安全数据安全数据安全消息摘要消息摘要是原始数据的指纹是对原始数据按照一定算法进行计算得到的结果是用于检测原始数据是否被修改过。不等同于加密保证数据没有经过改变,但接收者还无法确定数据是否确实是某个人发来(被拦截,获取后重发)数字签名数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许
2、数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人进行伪造。安全安全数据加密数据加密量子加密量子加密对称加密技术简介对称加密技术简介数据加密标准(DES)对称密钥加密系统是国际数据加密算法(IDEA)非对称加密技术简介非对称加密技术简介公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法Web Service安全安全Web Service展示Demo http:/127.0.0.1/WebSrvs/tes
3、tclient.html为什么需求安全消息被修改未授权者访问消息传递的中间代理的攻击XML Parameter Tampering (非法脚本注入)其他很多未了解的情况Web services 安全实践安全实践基于基于 Windows 安全安全Web services 安全实践安全实践基于基于 HTTP Basic Authentication - 1是 Authentication( 认证 ) 中最简单的方法。如果你正在使用 Internet Explorer 或者 Mozilla Firefox 这样的可视化浏览器来访问需要认证的资源,浏览器会弹出一个窗口,让你输入用户名和密码,如果所输入
4、的用户名在资源使用者的验证列表,并且密码完全正确, 用户才可以访问受限的资源Web services 的 endpoint 被列为受限资源,需要使用这些资源,必须提供相应的认证信息。如服务器无法获得认证信息,就返回了 401 Unauthorized 错误。认证流程认证流程Web services 安全实践安全实践基于基于 HTTP Basic Authentication -2Project PHW2-01-SecWebSrvrole rolename=WsInvokerRole“user username=wsaxis password=wsaxis roles=WsInvokerRole
5、“发布App验证 Web services 安全实践安全实践基于传输层(Transport-Level)安全机制 SSL(https)理论上说,基于 SOAP 规范的 web services 消息可以与任何传输协议进行绑定,如 JMS、FTP 等。但由于传输层安全机制 SSL 仅适用于 HTTP 协议,因而极大地限制了 web services 传输协议透明性的优势。传输层的安全机制是对整个传输信道进行保护,而无法对 SOAP 消息的具体部件(如 SOAP Header、SOAP BODY)做出细粒度的加密、认证、签名等操作。 SOAP 安全内容 2008-02-06T13:39:50.94
6、3Z 2008-02-06T13:44:50.943Z apache password 4 6 Web services 安全实践安全实践基于 WS-Security 规范的消息层安全机制可以采用简单的 Username Token(Username & Password),也可以使用标准的 X509 Token(认证证书)或是可定制的 LTPA Token,来对用户的身份提供认证。WS-Security 主要是采用 XML 加密 / 解密和数字签名(Digital Signature)的方式来保证 SOAP 消息的完整性和保密性Web Services Security with Apach
7、e Rampart Part 1 ( Transport Level Security ) Step 1. Deploying the Module and Necessary JarsStep 2. Configuring SSL in Apache TomcatStep 3. Writing the Web Service and the Service DescriptorStep 4. Writing the Password CallbackStep 5. Constructing the Security PolicyStep 6. Engaging Rampart and App
8、lying the Security PolicyStep 7. Deploy the ServiceStep 8. Writting the ClientWeb Services Security with Apache Rampart Part 2 (Message-Level Security) Step 1. Writing the Web service and the service descriptorStep 2. Setting up the key storeStep 3. Writing the password callbackStep 4. Providing Ram
9、part specific configuration detailsStep 5. Engaging Rampart and applying the security policyStep 6. Deploy the serviceStep 7. Writting the clientWSS4J Web Services Security for JavaWSS4J在Web Services框架中以handler方式工作,在发送SOAP消息前进行签名、加入认证凭据和加密,在收到SOAP消息后进行解密、认证和验证签名等安全工作。使用者可以自己编写handler处理SOAP消息以保证安全。参考
10、http:/ws.apache.org/wss4j/package.htmlToolHttpClient自动页面测试执行Post发送报文问题 ?问答其他主题Service JS Node JSJ2EE Cluster高性能网站建设WSDL & UDDIRest Representational State Transfer其他补充SOAP Simple Object Access Protocol是一种标准化的通讯规范,主要用于Web服务中。SOAP 1.1 SOAP 1.2WSDLWSDL 是基于 XML 的语言,用于描述 Web services 以及如何访问它们。WSDL 可描述某个 web service,连同用于此 web service 的消息格式和协议细节。
