jax-ws, аутентификация для клиентов php

Question

Сценарий: сервер - это glassfish с веб-службами jax-ws, а клиенты на основе php

Какой тип аутентификации для веб-сервисов является более вычислимым для клиентов на основе php?

1. Базовая аутентификация HTTP
2. Аутентификация клиента HTTPS
3. Взаимная аутентификация (поддерживается?)
4. Дайджест-аутентификация (поддерживается?)

Описание:

Указание механизма аутентификации

Answer 1

Нет. 1 over HTTPS наиболее совместим, прост в реализации в PHP. Не используйте # 1 вместо чистого HTTP.

Не знаю, что вы подразумеваете под № 2 и № 3, они звучат одинаково для меня. Это можно сделать с помощью curl.

Нет. 4 также поддерживается в CURL.

Answer 2

Какое бы решение вы ни выбрали, используйте HTTPS для отправки конфиденциальной информации. Итак:

1. Не
2. Это будет работать, но ... Кто будет выдавать сертификаты? Сколько клиентов у вас будет? Вы можете справиться с этим? И, что более сложно, можете ли вы сохранить это (отзыв сертификата со временем и т. Д., Это самая сложная часть)?
3. См. № 2.
4. Я не фанат.

Возможно, взгляните на WS-Security UsernameToken (или пользовательское решение, основанное на заголовках SOAP). Я не эксперт по PHP, но WS-Security, кажется, поддерживается (хотя бы частично) некоторыми стеками PHP. См:

• Создание имени пользователя SOAP WS-Security в PHP
• Аутентификация с использованием токена имени пользователя из PHP - 2 минуты. Введение (с использованием WSF / PHP)
• Подключение к защищенной WS-Security веб-службе с помощью PHP

Answer 3

-1- нет, опасно, нюхает

-2-4- вроде того же уровня

вам следует рассмотреть возможность использования некоторых современных (и сложных) стандартов, таких как OAuth