Absicherung vom Web Service

[Danila]

Kann mir bitte jemand begründet erklären, warum man statt einer SSL verschlüsselten Verbindung die WS*-security Erweiterung zur Absicherung von Web Services verwenden soll?

Danke

[Jaraz]

WS*-security Erweiterung

Was bitte soll das sein?

[Danila]

http://www.microsoft.com/germany/msdn/library/xmlwebservices/ErweiterteSicherheitInWebServicesAnwendungenMitDenWSEUndWSSecurity.mspx

http://www.oio.de/public/xml/web-service-specifications.htm

[carstenj]

Hi,

mmh, also ich habe deine Links nur überflogen, aber ich denke die Erklärung ergibt sich doch daraus?!

Z. B.:

Auch hier gibt es Lösungen im Umfeld des zugrunde liegenden Transportprotokolls. Im Falle von HTTP wird man für den ersten Fall Secure Sockets Layer (SSL) einsetzen, damit die Daten verschlüsselt zwischen den Kommunikationspartnern ausgetauscht werden. Beim letzten Punkt wird es dann schon etwas schwieriger. Aber ganz unmöglich wird die Sache, wenn mehr als nur ein Web Service oder mehr als nur eine Zwischenstation in der Kommunikationskette beteiligt sind.

[Danila]

Die Notwendigkeit ergibt sich also aus der Verwendung von verketteten Aufrufen weiterer Web Services... oder?

Wenn ich aber als Web Service Entwickler weiss, dass keine weiteren Web Service Aufrufe mehr erfolgen (und das ist meistens der Fall), ist aus meiner Sicht die Punkt-zu-Punkt Sicherheit auch gleichzeitig die Ende-zu-Ende Sicherheit.

Zudem bietet das SSL Protokol ebenso eine Möglichkeit der beidseitigen Authentifizierung.