[解決済み] セキュアなWebサービス:REST over HTTPS vs SOAP + WS-Security。どちらが優れているか?[クローズド]。
質問
この質問を改善したいですか? 事実と引用で答えられるように、質問を更新する。 本論文の編集 .
クローズド 7年前 .
私は決してセキュリティの専門家ではありませんが、RESTスタイルのウェブサービスを作ることに賛成です。
送信するデータの安全性を確保する必要がある新サービスを作るにあたって。 HTTPSを備えたRESTとWS-Securityを備えたSOAP WS、どちらのアプローチがより安全かという議論に突入しています。
私は、すべてのWebサービスの呼び出しにHTTPSを使用することができ、このアプローチは安全であるという印象を持っています。 私は、銀行や金融機関のウェブサイトで HTTPS が十分であれば、私にとっても十分だと考えています。 繰り返しになりますが、私はこの分野の専門家ではありませんが、これらの人々はこの問題についてかなり真剣に考え、HTTPSに慣れているのだと思われます。
同僚はそれに反対で、SOAPとWS-Securityが唯一の方法だと言っています。
この件に関しては、ウェブ上では賛否両論あるようです。
このコミュニティで、それぞれの長所と短所について意見を聞かせてもらえないだろうか。 ありがとうございます。
解決方法は?
HTTPSは、ネットワーク上のメッセージの伝送を保護し、サーバーの身元についてクライアントにある程度の保証を提供します。これは、銀行やオンライン証券会社にとって重要なことです。クライアントを認証する彼らの関心は、コンピュータの ID ではなく、あなたの ID にあるのです。だから、カード番号、ユーザー名、パスワードなどが、あなたを認証するために使われる。その後、送信内容が改ざんされていないことを確認するために、通常いくつかの予防措置が取られますが、全体として、セッションで起こることはすべて、あなたによって開始されたとみなされるのです。
WS-Securityは、メッセージの作成から消費に至るまで、機密性と完全性の保護を提供します。したがって、通信のコンテンツが正しいサーバによってのみ読み取られることを保証する代わりに、サーバ上の正しいプロセスによってのみ読み取られることを保証します。セキュアに開始されたセッションのすべての通信が認証されたユーザーからのものであると仮定する代わりに、各通信は署名されなければならない。
裸のバイク乗りが登場する面白い解説があります。
WS-SecurityはHTTPSよりも保護機能が高く、SOAPはRESTよりもリッチなAPIを提供するわけですね。私の意見としては、追加機能や保護が本当に必要でない限り、SOAPとWS-Securityのオーバーヘッドをスキップすべきだということです。私はそれが少し対処療法であることを知っているが、実際にどのくらいの保護が正当化されるかについての決定(単に構築するのがクールであることではなく)は、問題を密接に知っている人々によって行われる必要があります。
関連
-
[解決済み] [【解決済み】tempuri.orgとは何ですか?
-
[解決済み] RESTとRPCのWebサービスの違い
-
[解決済み] JSONの文字エンコーディング - UTF-8はブラウザでよくサポートされていますか、それとも数字のエスケープシーケンスを使用すべきですか?
-
[解決済み] 後で平文を取り出すためのユーザーパスワードの保管について、倫理的にどのように取り組むべきでしょうか?
-
[解決済み] SOAPとRESTの比較(相違点)
-
[解決済み] REST APIのエラーリターンに関するグッドプラクティス【終了しました
-
[解決済み] RESTを理解する。動詞、エラーコード、認証
-
[解決済み】REST API 404。不正な URI、またはリソースの欠落?
-
[解決済み] なぜSOAPベースのサービスではなく、RESTを使うのか?[クローズド]
-
[解決済み] Web APIとWebサービスの違いは何ですか?
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み] [【解決済み】tempuri.orgとは何ですか?
-
[解決済み] Spring RestTemplateクライアント - 接続拒否例外
-
[解決済み] Outlook.comでは、Webhook/push通知のサポートはありますか?
-
[解決済み] RESTとRPCのWebサービスの違い
-
[解決済み] JSONの文字エンコーディング - UTF-8はブラウザでよくサポートされていますか、それとも数字のエスケープシーケンスを使用すべきですか?
-
[解決済み] REST APIのエラーリターンに関するグッドプラクティス【終了しました
-
[解決済み】メッセージキューとウェブサービスは?[をご紹介します。]
-
[解決済み】P99のレイテンシーって何ですか?
-
[解決済み】ODataとRESTのWebサービスの違いについて
-
[解決済み] セキュアなWebサービス:REST over HTTPS vs SOAP + WS-Security。どちらが優れているか?[クローズド]。