Какой механизм / инфраструктуру веб-служб следует использовать для приложений с высоким уровнем безопасности?

Question

Я работаю в компании, которая занимается разработкой высокозащищенных веб-сервисов для банковских приложений.Веб-сервисы будут создаваться и использоваться для того, чтобы установить связь с приложениями, уже используемыми в банке.Веб-сервисы будут развернуты на сервере JBoss. Какие платформы / механизмы веб-служб лучше всего подходят для приложений с высоким уровнем безопасности? Я провел некоторые исследования и несколько из них попал в шорт-лист.Они следующие:

• Apache Axis2
• Apache CXF
• JAX-WS

Я даже читал этот сервер JBossимеет некоторый встроенный движок веб-сервисов, но не собрал много информации об этом.Также я читал, что Apache Axis2 реализует функции безопасности с помощью Apache Rampart. Насколько эффективен Apache Rampart?Подходит ли это для применения, упомянутого выше?Существуют ли другие реализации безопасности, кроме Rampart для Axis2?

Какой фреймворк / механизм выбрать?Существуют ли хорошие и надежные структуры с сильной поддержкой сообщества, кроме упомянутых выше?

Answer 1

В последних версиях JBoss в качестве базового механизма веб-сервисов используется CXF (хотя у них есть и своя собственная реализация, которую они поддерживают).

Для ситуаций с безопасностью лучше всего выбрать Apache CXF.Разработчики CXF (в частности, Colm и Oli) - это люди, которые управляют большинством усовершенствований в области безопасности.Последняя выпущенная версия Rampart использует довольно старую версию WSS4J, которая не содержит многих новых функций и улучшений, которыми пользуются пользователи CXF.

Хорошим ресурсом для просмотра является блог Колма: http://coheigea.blogspot.com/

Вы можете увидеть, сколько работы он вложил, чтобы убедиться, что CXF имеет лучшую реализацию WS-Security, очень хорошийSTS и т. Д. Блог Оли (http://owulff.blogspot.com/) начал документировать расширения для Tomcat и тому подобное для поддержки WS-Federation и SSO, опять же на основе работы, проделанной для CXF.