Web Service 寻址安全性
使用 Web Service 寻址 (WS-Addressing) 的通信必须足够安全,并且必须在各个通信方之间建立足够的信任关系,这至关重要。可以通过为 WS-Addressing 消息寻址属性进行签名和对端点引用加密来获得安全通信。
保证 http://www.w3.org/2005/08/addressing 和 http://schemas.xmlsoap.org/ws/2004/08/addressing, 这两个受支持的寻址名称空间这些操作,即使您只打算使用其中一个名称空间亦如此。
为 WS-Addressing 消息寻址属性进行签名
可以使用组装工具来指定消息寻址属性,并因此可以指定需要签名或需要在入站请求中验证签名的 WS-Addressing 消息元素。消息的接收方可能根据是否存在此可验证的签名来确定来源于可信源的出站消息。同样,如果缺少与指定的入站消息寻址属性关联的可验证签名,那么会导致消息被拒绝并产生 SOAP 故障。
端点引用的加密
可以将端点引用加密并作为 SOAP 主体的 SOAP 头的一部分。或者,只要在端点引用的地址或引用参数属性中不包括敏感信息,就不需要进行加密。
同步消息交换模式的用法
此方法近适用于 JAX-WS 应用程序。
如果您未使用上述一种或多种方法对 SOAP 消息中的 WS-Addressing 信息进行保护,并且未启用 WS-Security,那么 SOAP 消息的 ReplyTo 和 FaultTo 元素可能会被用于将消息发送给第三方,从而有可能参与拒绝服务攻击。要保护这种攻击,应用并配置 WS-Addressing 策略类型,以仅指定同步消息传递。 您还可以启用 WS-Policy,以使此需求与该客户机进行通信。