我们正在改变我们的Web服务,要求使用它们的应用程序提供有关请求数据的真实用户的信息。对于REST服务,我们使用X-On-Behalf-Of HTTP标头实现此功能。我们应该为SOAP服务做同样的事情吗?或者更好地将它放在自定义SOAP请求标头中?这个领域的最佳实践是什么?
答案 0 :(得分:0)
虽然答案取决于您的应用程序架构的内部结构以及您可能遵循的其他设计原则。
保持Rest / SOAP服务实现几乎相同的安全模型的理想,因此,如果您计划使用“X-On-Behalf-Of”HTTP,那么在SOAP服务的情况下使用它也是有意义的
但是,在SOAP的情况下,您使用WS-Security或某种自定义SOAP标头在每个SOAP调用中进行身份验证/授权,修改SOAP标头本身以获得额外的{{1}更有意义}} X-上代表-of`
有关详细信息,请参阅Message 2 - WS-Trust Token Exchange Request部分。