我正在为我的网络服务添加安全性,并选择对Timestamp和Token进行签名。
在阅读文档时,我发现很多示例,他们在Body消息的SOAP签名。
我的问题是:什么最适合签名?
据我所知,如果Body非常大,Body可能导致性能问题。
感谢。
答案 0 :(得分:2)
你绝对应该签署整个邮件正文。
对< SignedInfo>中定义的引用部分的摘要执行XMLDSIG。与PKI操作相比,通过大型主体运行SHA1之类的哈希算法所需的时间非常短。你不应该担心表现。
答案 1 :(得分:0)
如果客户端通过HTTPS向服务器发送WS-Secure SOAP请求,我的理解是,即使有人嗅到流量,他们也无法解密它以查看SOAP消息,因此无法修改它。所以我认为不需要双向SSL。
在HTTPS上使用WS-Secure时,我们不能让HTTPS负责加密,只需使用WS-Secure进行身份验证(即将时间戳或正文或其他内容的某些SOAP消息签名)?