SOAPセキュリティヘッダーとSOAPヘッダーの違い

Question

SOAPセキュリティヘッダー（WSSE）と一般的なSOAPヘッダーの違いは何ですか？私の資格情報を送るために単純な石鹸のヘッダーを使用するとどうなりますか？

<soapenv:Header> 
    <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"> 
    <wsse:UsernameToken wsu:Id="UsernameToken-1"> 
     <wsse:Username>login</wsse:Username> 
     <wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">XXXX</wsse:Password> 
    </wsse:UsernameToken> 
    </wsse:Security> 

をそして、これを使用しないでください：

なぜ私はこれを使用する必要があります

<S:Header> 
    <Username xmlns="http://ws.enterprise.com/" xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:actor="http://schemas.xmlsoap.org/soap/actor/next"> 
     Username text 
    </Username> 
</S:Header> 

感謝を事前に！

Answer 1

両方とも、ユーザ名とパスワードを渡す機能が必要です。

どちらも同じように簡単です。

1つは、open standardです（実際には、認証、メッセージの機密性、否認防止などのエンドツーエンドのSOAPメッセージセキュリティのニーズに関するよく考えられた標準のうちの1つです）。もう1つはアプリケーション固有のものです。独自のものだが、必要なものすべてである可能性があります。 WS-Securityを使用しての

可能な利点：

• すでに文書化
• すでに実装（少ない作業を（。あなたのための少ない作業は、ちょうどあなたが残りをGoogleできWS-Security UsernameTokenとクライアントを使用して文書化）あなたの消費者のために、場合によってはWebサービス実装のために）。ライブラリ・フレームワークの多く（Javaの：ApacheのWSS4J、ApacheのCXFは、JavaScript：Node.js、Pythonの：suds）、などIBM WebSphere、オラクルWebLogic、RedHatのJBoss AS、そのような.NETなどの他のエンタープライズ・プラットフォームとしてのJavaEEアプリケーションサーバ - すべてが事前に構築されてきました、多くの場合、この特定のオープンスタンダード（WS-Security UsernameToken）を使用してWebサービスを保護するための構成のみの技術です。
• 成長する部屋。これはちょうどmany related standardsの1つです。ユーザー名/パスワードを使っていくつかのクライアントを認証したいのですが、デジタル署名を使って認証する必要がありますか？そこには関連する標準があります。必要なXML構文だけでなく、さまざまな攻撃経路を考えることも含めて、XMLを作成する必要はありません。オープンスタンダードにはすでに多くの人が目を通しています。曲線を学ぶ
  • ：

  可能な欠点事前に構築されたものを使用することを選択するには、あなた（とあなたのクライアントが）ある程度それを理解しなければならないことを意味します。

• いくつかのエッジケースのオーバーキル。私はここで少し伸びている。これがプロトタイプのWebサービスであり、ビジネスやプロダクションでの使用は決して予定されていないとしましょう。 1つのWebサービスと1つのWebサービスクライアントを構築しますか？放棄されたコードは、一定期間「ワイドオープン」にしたくないだけですか？頑張れ。