WebService安全

WebService安全 技术交流 安全 安全通道安全对登录方进行通道限制经过授权 登录验证后 方可使用通道通讯实例VPN Https数据安全对通讯数据的安全处理 安全 数据安全消息摘要是原始数据的指纹是对原始数据按照一定算法进行计算得到的结果是用于检测原始数据是否被修改过 不等同于加密保证数据没有经过改变 但接收者还无法确定数据是否确实是某个人发来 被拦截 获取后重发 数字签名就是附加在数据单元上的一些数据 或是对数据单元所作的密码变换 这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据 防止被人进行伪造 安全 数据加密量子加密对称加密技术简介数据加密标准 DES 对称密钥加密系统是国际数据加密算法 IDEA 非对称加密技术简介公开密钥与私有密钥是一对 如果用公开密钥对数据进行加密 只有用对应的私有密钥才能解密 如果用私有密钥对数据进行加密 那么只有用对应的公开密钥才能解密 因为加密和解密使用的是两个不同的密钥 所以这种算法叫作非对称加密算法 WebService安全 WebService展示Demo为什么需求安全消息被修改未授权者访问消息传递的中间代理的攻击XMLParameterTampering 非法脚本注入 其他很多未了解的情况 Webservices安全实践 基于Windows安全 Webservices安全实践 基于HTTPBasicAuthentication 1是Authentication 认证 中最简单的方法 如果你正在使用InternetExplorer或者MozillaFirefox这样的可视化浏览器来访问需要认证的资源 浏览器会弹出一个窗口 让你输入用户名和密码 如果所输入的用户名在资源使用者的验证列表 并且密码完全正确 用户才可以访问受限的资源Webservices的endpoint被列为受限资源 需要使用这些资源 必须提供相应的认证信息 如服务器无法获得认证信息 就返回了401Unauthorized错误 认证流程 认证流程 Webservices安全实践 基于HTTPBasicAuthentication 2ProjectPHW2 01 SecWebSrvrolerolename WsInvokerRole userusername wsaxis password wsaxis roles WsInvokerRole 发布App验证 Webservices安全实践 基于传输层 Transport Level 安全机制SSL https 理论上说 基于SOAP规范的webservices消息可以与任何传输协议进行绑定 如JMS FTP等 但由于传输层安全机制SSL仅适用于HTTP协议 因而极大地限制了webservices传输协议透明性的优势 传输层的安全机制是对整个传输信道进行保护 而无法对SOAP消息的具体部件 如SOAPHeader SOAPBODY 做出细粒度的加密 认证 签名等操作 SOAP 安全内容 2008 02 06T13 39 50 943Z2008 02 06T13 44 50 943Zapachepassword46 Webservices安全实践 基于WS Security规范的消息层安全机制可以采用简单的UsernameToken Username Password 也可以使用标准的X509Token 认证证书 或是可定制的LTPAToken 来对用户的身份提供认证 WS Security主要是采用XML加密 解密和数字签名 DigitalSignature 的方式来保证SOAP消息的完整性和保密性 WebServicesSecuritywithApacheRampart Part1 TransportLevelSecurity Step1 DeployingtheModuleandNecessaryJarsStep2 ConfiguringSSLinApacheTomcatStep3 WritingtheWebServiceandtheServiceDescriptorStep4 WritingthePasswordCallbackStep5 ConstructingtheSecurityPolicyStep6 EngagingRampartandApplyingtheSecurityPolicyStep7 DeploytheServiceStep8 WrittingtheClient WebServicesSecuritywithApacheRampart Part2 Message LevelSecurity Step1 WritingtheWebserviceandtheservicedescriptorStep2 SettingupthekeystoreStep3 WritingthepasswordcallbackStep4 ProvidingRampartspecificconfigurationdetailsStep5 EngagingRampartandapplyingthesecuritypolicyStep6 DeploytheserviceStep7 Writtingtheclient WSS4JWebServicesSecurityforJava WSS4J在WebServices框架中以handler方式工作 在发送SOAP消息前进行签名 加入认证凭据和加密 在收到SOAP消息后进行解密 认证和验证签名等安全工作 使用者可以自己编写handler处理SOAP消息以保证安全 参考 Tool HttpClient自动页面测试执行Post发送报文 问题 问答 其他主题 ServiceJS NodeJSJ2EECluster高性能网站建设WSDL UDDIRestRepresentationalStateTransfer 其他补充 SOAPSimpleObjectAccessProtocol是一种标准化的通讯规范 主要用于Web服务中 SOAP1 1SOAP1 2WSD