4

初めての投稿はこちら!Web サービスのセキュリティに関するコミュニティの助けが必要でした。

私は、Web サービスのセキュリティに関する最先端の研究を行っています。識別、アクセス制御、データの完全性、保護、否認防止などの伝送関連の問題を解決するあらゆるソリューションが必要です..

そこで、これらのニーズを満たす現実世界のソリューションをいくつか取得し、SOAP ベースの Web サービス用のソリューションを見つけました。

  • 識別: WS-Security フレームワーク
  • 認証: E​​xtensible Access Control Markup Language (XACML)
  • 認可
    • 拡張権利マークアップ言語 (XrML)
    • XML キー管理 (XKMS)
    • セキュリティ アサーション マークアップ言語 (SAML)
    • .NET パスポート
  • 機密情報
    • WS セキュリティ フレームワーク
    • XML暗号化
    • セキュア ソケット レイヤー (SSL)
    • WSS

そして、それらのほとんどすべてが spring-security を使用して実装可能です

一方、安全性が低いと評判の RESTful Web サービス。Web SSL/TLS に基づくことは、暗号化の優れたソリューションですが、次のような他のセキュリティ プロトコルも存在します。

  • OAuth: Facebook、Twitter で使用、トークン交換なし
  • OpenID: Google が使用
  • キャス
  • LDAP、ケルベロス
  • ペルソナ、BrowerID

もう 1 つの解決策は、セキュリティをエンタープライズ バスにサービスとして統合することです (Security as a Service)。

だから私の質問は:私が知っておくべき他の解決策はありますか? 他のフレームワークはありますか?

どうもありがとう

4

2 に答える 2

4

1 つのポイントを追加するだけで、安らかな Web サービスに関して、開発者は tomcat サーブレット コンテナーによって提供されるセキュリティを使用できるということです。これは、server.xml および tomcat-users.xml でレルムを構成することによって実現できます。設定の詳細はこちら -> http://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html

そして、フォームベースの認証に最適です。参照: http://www.onjava.com/pub/a/onjava/2001/08/06/webform.html?page=2

于 2013-05-03T18:26:49.060 に答える
1

REST Web サービスのセキュリティをさらに制御したい場合は、独自の認証と RBAC (役割ベースのアクセス制御) の実装を検討できます。HTTPS を介してヘッダー内のすべてのリクエストでユーザー名とパスワードを取得し、REST Web サービス レイヤーに RBAC を実装するだけです。基本的には、サーブレット フィルタを追加して、リクエストが実際に Web サービスに渡される前に認証と承認を行うことができます。

選択はあなた次第です。明らかにさまざまなセキュリティ フレームワークが利用可能ですが、要件に最適なものを選択する必要があります。

于 2013-05-04T07:28:36.417 に答える