Webservice：考慮設計和安全考慮事項？

Question

實現Web服務時必須評估哪些設計模式？

更重要的是，Web服務必須考慮哪些安全方面？由於WSDL包含服務的完整信息，包括輸入，輸出格式和訪問URL，安全性是否會受到Web服務的影響？

由於提前，

編輯

只是想添加一些東西。

我正在開發將部署在Linux（Fedora）機器上託管的JBoss服務器上的Java服務。

至於認證機制被認爲是調用服務，是的，我確實有。除非用戶獲得令牌，否則他將無法使用實際執行業務操作的其他服務。

另外，在SOAP Envelope體內部的實際請求體中，使用CDATA在2層XML中隱藏了實際的請求。像下面的代碼。

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:myns="http://testserver/testservice"> 
    <soapenv:Header/> 
    <soapenv:Body> 
     <myns:Operation> 
     <myns:OperationRequestBody><![CDATA[-- actual request XML goes here --]]></myns:OperationRequestBody> 
     </myns:Operation> 
    </soapenv:Body> 
</soapenv:Envelope> 

是否存在URL的任何安全方面 - 比如說使用HTTPS協議，我知道它是服務器級別的配置。

Answer 1

以及它取決於事物數量：

• 無論您是暴露組織（在這裏你不必擔心太多關於安全性），而不是向外暴露webservice的內部Web服務的。

我們做的一件事情（當我們內部公開時），我們使用Windows/NTLM身份驗證，以便我們域中的特定人員可以運行它。

我會確保我沒有暴露任何可以破壞Web服務的東西:)（如GetAllData或類似的），以便只公開無狀態的方法，並且如果需要的話可以輕鬆地進行節制。

此外，還使用了confluence的API（基於webservice），他們使用了Authentication機制，您首先登錄並獲得令牌，並且您必須在每次執行Web服務調用時都附加該令牌。