Paypal和REST Web服务

Question

从我读过的有关REST与JAX-WS的所有资源中，当需要更高级别的安全性时，建议使用JAX-WS。

如果是这种情况，我很好奇为什么PayPal使用REST Web服务。汇款是一种需要高度安全性的交易。任何人都可以就此发表意见吗？

编辑： 如果仍然使用SSL，那么JAX-WS对REST有什么样的“安全合同”？

Answer 1

这本身并不是JAX-WS与REST的讨论。这是SOAP与REST的讨论。 JAX-WS只是用于编写Java（SOAP）Web服务提供者或客户端/消费者应用程序的现代JavaEE框架。

SOAP的各种OASIS标准，如{@ 3}}，如@Namphibian所指，包含以下的开放式规范：

• 邮件完整性：确保没有第三方篡改请求/响应的内容，无论使用何种传输级别（例如HTTPS）安全性
• 消息机密性：确保没有第三方可以读取部分或全部请求/响应，无论传输级别安全性如何
• 消息不可否认性：在请求/响应消息中使用数字签名，以确保（或删除声称“我们未发送”的能力）发送方实际上是创建消息的一方。

所有这些实现有时非常复杂（在已经很复杂的基本SOAP规范之上）。但是，它们提供了一定程度的安全性，据我所知，在RESTful服务中没有直接对应的安全性。严格来说，这是从可用的开放标准角度来看。

REST通常被认为更容易集成/消费，如果您愿意在传输级别（HTTPS）机密性上保留所有安全性，那么您就可以了。

SOAP消息级安全性旨在允许保护，即使传输级别安全性被破坏或根本不使用。