Quali vantaggi ci sono tra l'implementazione di messaggi SOAP su SSL modificando il web.xml/ejb-jar.xml VS modificando il WSDL con un WS-Policy?Differenza tra i meccanismi di sicurezza WS
Il nostro progetto può raggiungere l'obiettivo di consentire ai nostri clienti (noi stessi) di accedere al servizio Web tramite una connessione protetta aggiungendo una garanzia di trasporto, ma non siamo sicuri che sia una soluzione completa/corretta.
Con SSL, si ottiene una crittografia point-to-point tra client e servizio. Se il servizio non è il destinatario ultimo del messaggio, ma un proxy che indirizza questo messaggio a un altro servizio, non hai crittografia tra i due servizi, oppure devi configurarlo anche tu.
WS-Security configurata tramite WS-Policy è in grado di fornire una crittografia end-to-end tra il client e il destinatario finale del messaggio, poiché è possibile crittografare il corpo del messaggio. Non è necessario configurare SSL per ogni coppia di entità comunicanti. Ogni proxy può semplicemente instradare il messaggio, come definito nell'intestazione.
Detto questo, se non hai bisogno di garanzie end-to-end, ma point-to-point è sufficiente (che è il tuo scenario, per quanto ne so), direi che usare SSL è una scelta giusta .
Un'altra cosa da considerare è che le implementazioni WS-Security di client e servizi devono essere in grado di interoperare. SSL in genere è abbastanza maturo, ma la mia esperienza personale è che le implementazioni di WS-Security non lo sono. Pertanto, se si dispone di diversi stack WS- * per client e server, è possibile che vi sia un po 'di hacking e tentativi ed errori per trovare una configurazione della politica che funzioni per entrambi.
spiegazione perfetta. Grazie! – MikeG