Использование безопасности уровня приложений с REST против WS-Security в Soap

Question

Я хочу реализовать веб-сервис для корпоративного приложения.Безопасность - это ключевая проблема.
Я немного запутался в отношении перспектив безопасности Отдых и Мыло .

То, что я прочитал, - Soap с WS-Security (как может быть реализовано с использованием Rampart и Axis2 ), может обеспечить безопасность на уровне приложений,тогда как REST может использоваться с HTTPS для обеспечения безопасности транспортного уровня.

Теперь у меня возникли сомнения.
Для текущего сценария пусть конфиденциальность данных имеет первостепенное значение.
Теперь, при использовании REST с SSL, иметь сквозную безопасность, еслиЯ зашифровываю Данные и таким образом создаю файл xml/json на данных (скажем, с использованием некоторых библиотек, таких как Джерси), это будет хорошим вариантом по сравнению с WS-Security с SOAP?

Answer 1

Причина, по которой SOAP имеет WS-Security, заключается в том, что SOAP должен быть нейтральным по отношению к транспорту, что означает, что он может работать через HTTPS, JMS или любой другой новый протокол, созданный завтра. Владельцы спецификации чувствовали необходимость определить согласованный подход к реализации аутентификации для SOAP и, естественно, не могли полагаться на механизм, специфичный для транспорта, такой как, например, HTTP-аутентификация. Таким образом, SOAP имеет WS-Security в результате. WS-Security также обеспечивает другие аспекты безопасности, такие как шифрование по той же причине.

Для подхода, основанного на REST, можно использовать HTTPS для получения того же типа безопасности. HTTP определяет несколько разных подходов к аутентификации, которые можно использовать в архитектуре RESTful. Также возможно использовать другие механизмы аутентификации поверх HTTP, если механизмы по умолчанию недостаточны.