Я могу заверить, что WS-Security может быть сложно реализовать, но он намного лучше контролирует уровень безопасности вашего сообщения:
- Шифрование отдельных частей header / body
- Срок действия сообщения
- Цифровые подписи
- Аутентификация
- Больше контроля над алгоритмами шифрования и подписи
Но если вы посмотрите на внутренние веб-сервисы, я найдуэтот SSL / TLS проще в реализации, но все равно обеспечит надежное шифрование.Если вы хотите добавить аутентификацию, вы можете сделать это с помощью базовой аутентификации на сервере.
Я сомневаюсь, что вам нужно будет использовать как WSS, так и TLS, но некоторые из тех, кто в эти информационные секунды, будут кричать об обороне.и скажем, что это хорошая идея, если кто-то может расшифровать ваш сеанс HTTPS.Раньше я был одним из тех парней и, вероятно, говорил это, но я искал причины, чтобы оправдать оплату услуг моего босса.
Так что это действительно сводится к бизнес-требованиям и к каким данным вы смотрите.
Кроме того, я бы подумал, что злоумышленник во внутренней сети, вероятно, будет искать ваши источники данных, а не ваши данные в пути.
Небольшой личный опыт:
Я внедрил WS-Security для правительственных веб-сервисов, но они могут распространяться через общедоступный Интернет.Внутренние службы, над которыми я работал в финансовом учреждении, отвечали требованиям аудита с помощью HTTPS и базовой аутентификации.
Cheers!