 |
Технология Клиент-Сервер 2007'3
|
|
|
Передача идентификационной информации пользователя в реализации Web-сервисов
Автор: Борис Люблинский
CNA Insurance
Опубликовано: 20.10.2008
Реализация Web-сервисов требует внедрения нескольких уровней защиты, включая защиту обмена информацией, защиту доступа к конечным точкам Web-сервисов и передачу идентификационной информации между потребителем сервиса и его реализацией. В данной статье рассматривается передача идентификационной информации. Вы узнаете о роли передачи идентификационной информации в общей структуре системы защиты Web-сервисов и о ее поддержке в WebSphere Application Server (WAS) 6.1, как декларативной, так и программной. Вы узнаете также о том, как данная реализация поддерживает защищенную передачу информации между средами .NET и WebSphere.
Передача идентификационной информации
Типичная реализация системы защиты Web-сервисов защищает доступ к конечной точке Web-сервисов (рисунок 1). Это можно сделать одним из следующих способов:
- Transport-level invocation security (Защита вызовов процедур на транспортном уровне). Это широко распространенный подход, особенно при реализации Web-сервисов поверх HTTP, который может варьироваться от простой базовой реализации до взаимной аутентификации на базе сертификатов. Этот подход не очень хорош для идентификации реальных пользователей; поэтому он в основном используется при идентификации приложений. Идентификация приложения обычно реализуется на основе специальных "учетных записей приложений" или на сертификатах приложений. В обоих случаях Web-сервис настраивается на аутентификацию запросов и их прием только от ограниченного набора приложений. Проблема данного метода состоит в том, что поддержка передачи идентификационной информации о пользователе требует присутствия в приложении-потребителе сервиса информации обо всех потенциальных пользователях в виде пар пользователь/пароль или пользовательских сертификатов. При изменении контингента пользователей обслуживание этой информации становится очень сложным. Кроме того, защита на транспортном уровне является по своей сути защитой типа точка-точка. Введение промежуточных звеньев в обмен информацией между сервисами делает реализацию защиты на транспортном уровне чрезвычайно сложной.
- Certificates-based Web services security (Защита Web-сервисов на основе сертификатов). В отличие от реализации защиты на транспортном уровне, при которой устанавливаются доверительные взаимодействия только по каналу точка-точка, решения, применяющие защиту Web-сервисов (см. раздел "Ресурсы"), позволяют передавать сертификаты в самом SOAP-сообщении. Здесь защита реализуется на уровне сообщений, а не на транспортном уровне, что позволяет передавать сообщения через промежуточные звенья с сохранением доверительных отношений между потребителем сервиса и его провайдером. Аналогично защите на транспортном уровне, это решение обычно основано на идентификации приложений, а не пользователей.
. . .
Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы
то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских
прав.
........................
"С полным содержанием данной статьи можно ознакомиться в печатной версии журнала"
Copyright © 1994-2016 ООО "К-Пресс"
Home
Поиск
Издания
Контакты
