Java Web 服务: WS-Security 的大开销

核心提示： 何时使用 WS-Security您已经了解了 WS-Security 对处理时间和消息大小的影响，您可能想知道这些代价何时才是值得的，Java Web 服务: WS-Security 的大开销(8)，简单的回答是：当较简单的 SSL 替代方案没有作用时，在本节的其余部分，如果服务需要将信息传递给

何时使用 WS-Security

您已经了解了 WS-Security 对处理时间和消息大小的影响。您可能想知道这些代价何时才是值得的。简单的回答是：当较简单的 SSL 替代方案没有作用时。在本节的其余部分，我们将提供一些指导方针来帮助您确定 SSL 是否能满足您的需求，或者是否需要全功能的 WS-Security 解决方案，并且还将指导您在选择 使用 WS-Security 后最大限度降低与之相关的开销。

保密

保护机密信息是安全性最重要的一个方面。WS-Security 使用 XML Encryption 保护消息内容不被非目标接收者获取，其方法通常是使用封装在数字证书中的公共密匙。加密可以应用于整个消息或所选部分，并且您甚至可以使用多层加密来控制哪些信息可以由涉及多个系统的消息交换中的参与者访问。

WS-Security 的一个示例用例是一个在线购物系统，其中，客户机连接到商业系统下订单，但付款（比如说，通过信用卡）需要在处理订单前由某银行系统确认。如果商业系统能够以未加密的形式访问信息卡信息，则会带来基于浏览器的购物网站所特有的安全性风险：信用卡最终经常会存储在安全性较差、易于受到黑客攻击的数据库中。使用 WS-Security，信用卡信息可以以加密的格式传递，并且仅能由发出付款确认的银行系统解密。

但是，对于许多应用程序来说，在保护机密信息方面，WS-Security 和 XML Encryption 的功能有点过于强大。如果您的服务需要客户直接与之联系（而不是间接通过其他服务器）并且直接执行所有必要的处理，那么您可以仅使用 SSL (HTTPS) 连接来实现访问功能，这样能以比 WS-Security 更低的成本提供出色的机密信息保障功能。不过，这种方法仅适用于直接客户机连接。否则，如果服务需要将信息传递给其他服务，那么您又遇到了与在线购物网站易受攻击的情况：您使用安全的连接向购物网站传递信用卡信息，但是却无法保证信息将安全地保存在站点服务器上。