1. Основы и компромиссы WS-Security

WS-Security не зависит от протокола транспортного уровня, который использует Web-сервис, и поддерживает безопасную передачу сообщений, даже если сообщение проходит через несколько сервисов. Тем не менее, WS-Security может расходовать значительные ресурсы процессора. Узнайте, как работает WS-Security и как настроить эту службу в Axis2 для выполнения базовых функций отправки имени пользователя и пароля по запросу сервиса. Предлагаемые рекомендации помогут вам решить, подходит ли WS-Security для вашего приложения лучше, чем простое решение для обеспечения безопасности транспортного уровня.

Читать: Советы и рекомендации по web-сервисам, часть 11: Безопасность web-сервисов, часть 1

Читать: Web-сервисы Java: Основы стандарта Axis2 WS-Security

2. Реализация цифровой подписи и шифрования

Шифрование и цифровая подпись на базе XML ― краеугольные камни стандарта WS-Security. Требуя цифровой подписи, можно ограничить доступ к сообщениям авторизованными пользователями и гарантировать неизменность информации в процессе транспортировки. Шифрование позволяет сделать информацию недоступной для нежелательных получателей. Это введение в принципы шифрования с открытым ключом содержит примеры применения технологии для подписи и шифрования SOAP-сообщений с помощью Axis2. Используя Axis2 и сервер приложений Java EE Apache Geronimo, можно приобрести практический опыт реализации электронной подписи и шифрования WS-Security для приложений на базе Web-сервисов.

Читать: Подпись и шифрование с помощью Axis2 WS-Security

Практиковаться: Электронная подпись и шифрование с помощью Axis2 и Geronimo

3. Использование WS-Security без клиентских сертификатов

Симметричное шифрование WS-Security позволяет обезопасить обмен сообщениями между клиентом и сервером, не требуя клиентских сертификатов. Это упрощает конфигурацию Web-сервисов и обеспечивает выигрыш в производительности. Узнайте, как настроить и использовать симметричное шифрование с помощью Axis2 (и инструментов с открытым исходным кодом Metro и Apache CXF).

Читать: WS-Security без клиентских сертификатов

4. Обеспечение совместимости Web-сервисов, защищенных с помощью WS-Security

Web-сервисы служат эффективным средством интеграции приложений независимо от платформы, поставщика и языка программирования — но они не застрахованы от проблем взаимодействия. Познакомьтесь с некоторыми из общих проблем, вызванных несовместимостью между различными версиями спецификации WS-Security, а также со способами решения этих проблемы в своей среде, включая шлюз Web Services (программный компонент IBM WebSphere Application Deployment Network Server) и WebSphere DataPower SOA Appliances (простые в установке специализированные сетевые устройства).

Читать: Решение проблем совместимости спецификации WS-Security

5. Решение задач обеспечения безопасности Web-сервисов

Интеграция WebSphere Application Server с WebSphere DataPower SOA Appliance позволяет создавать безопасные и высокопроизводительные Web-сервисы. Познакомьтесь с детальными процедурами совершенствования и обеспечения безопасности Web-сервисов с помощью этих продуктов.

Читать: Решение задач обеспечения безопасности Web-сервисов WebSphere с помощью IBM WebSphere DataPower SOA Appliances

Загрузить: WebSphere Application Server(Пробная версия)

Загрузить: WebSphere Application Server Community Edition (Бесплатный продукт)