我已经为我们的客户创建了一个Web服务,并使用带有PasswordDigest的用户名令牌(带有时间戳,随机数和加密密码)来保护它。其中一个客户端使用的软件不支持PasswordDigest,只使用纯文本用户名和密码。
我对SOAP-Header中的纯文本密码感到有点不舒服。但是使用HTTPS保护整个流量。
我的问题:使用HTTPS,即使我将安全要求从PasswordDigest更改为PasswordText,它仍然足够安全吗?
我的要求是:
答案 0 :(得分:0)
如果您使用的是HTTPS,则可能会取消PasswordDigest并使用PasswordText,但您需要确保永远不会支持不安全的请求
答案 1 :(得分:0)
您可能还想查看SOAP的WS-Security扩展名。
关于你的问题,我不会害怕在HTTPS上使用明文密码,但正如@Anshu所说,确保你的服务不会在HTTP上响应!此外,请注意,技术上可行,并且经常看到公司代理有效地对HTTPS流量执行MitM“攻击”......
干杯,