Зачем использовать Soap в качестве аутентификации в веб-сервисе?

Question

Я смотрю на этот учебник http://www.codeproject.com/KB/cpp/authforwebservices.aspx и мне интересно, в чем причина использования аутентификации через мыло? Например, почему бы просто не передать имя пользователя и пароль через параметры?

Безопаснее ли делать это, как парень в учебном курсе, просто используя его в качестве параметров?

Спасибо

Answer 1

Поскольку существуют стандарты для аутентификации веб-служб на основе WS- * SOAP.

WS-Security является виновником работы здесь.

Он допускает что угодно от аутентификации токена имени пользователя / пароля до аутентификации X.509. Вы также можете использовать имя пользователя / пароль или X.509, чтобы зашифровать текст сообщения SOAP, чтобы получить более сложную информацию.

В качестве примечания, в .NET 2.0 есть расширения веб-служб (WSE) 3.0 для этого, поэтому вам не нужно самим проверять (как это делал автор вашей статьи). В .NET 3.5 вы будете использовать WCF, который имеет встроенную поддержку WS-Security.

Answer 2

Ну, нет, то, как этот парень делает это, не добавляет никакой дополнительной безопасности. Однако аутентификация через мыльные заголовки имеет несколько преимуществ при правильной реализации с использованием стека WS *. Стек WS * в значительной степени основан на сертификатах X.509, используемых для подписи и шифрования. Одним из основных преимуществ этого является то, что идентификационные данные могут передаваться от одного сервиса к другому, без необходимости хранить конфиденциальную информацию, такую ​​как имя пользователя и пароль.

Answer 3

проверить заголовки SOAP, которые могут быть подписаны и зашифрованы при необходимости и поддерживаются любой (уважающей себя) средой разработки SOAP ...