軟件測試之面向服務架構SOA：勇敢者的游戲[2]

關鍵字：soa 統一身份

　　盡管WS-Security標準有助于SOAP信息的加密和簽名，但該標準并未涉及任何有關認證、授權和計費(AAA)或者安全策略的內容。這些問題由安全領域的其他標準解決，并且所有這些標準都以WS-Security為基礎。

　　雖然目前這些標準由于太新而無法對用戶產生足夠的影響，但是其中多數最終將得到企業服務總線(ESB)和Web服務管理領域所有廠商的支持。

　　唯一的例外是統一身份的問題，也恰是在這一領域，安全標準新秀WS-Federation和WS-Trust對OASIS組織發布的另一成熟標準SAML 2.0發起了挑戰。采用統一身份的目的在于：將認證與被訪問的資源分隔開來，以實現單點登錄。用戶登錄到某身份提供者的系統，后者為之提供憑證，該用戶即可使用此憑證訪問多個不同資源。憑證與數字證書近似，在SAML中稱之為“斷言”，在WS-Trust中喚作“標識”;一般用憑證來擔保用戶身份，并在認證時添加一些信息，例如用戶在何時以什么方式登錄。SAML作用于整個單點登錄過程，而對于WS-*來說，這一過程由兩個標準共同完成：WS-Trust負責處理內部認證和標識的發放，WS-Federation負責管理用這些標識訪問其他資源的操作。

　　實際上，二者的主要差別在于：SAML直接使用XML加密和XML簽名，這意味著它與REST兼容;而WS-Federation則采用SOAP。SAML擁有龐大的客戶群，但是這實際上意義不大，因為微軟一直在全力推進WS-Federation，并表示不會支持SAML。

　　與其他的標準之爭不同，在這一案例中，并非是微軟與其他所有公司的簡單對抗。

　　一方面，微軟與國際商業機器公司(IBM)共同開發了WS-Federation標準，而后者同時也是SAML的擁躉;另一方面，SAML陣營中其他所有廠商均已承諾，如果WS-Federation存在市場需求，他們都會支持這一標準。從長遠來看，二者將會并存：微軟和SOAP環境會選擇WS-Federation，而REST Web服務則是SAML的天下。

　　防火墻置于何處

　　在互聯網的發展過程中，防火墻是最早推動Web服務普及的因素。雖然不同的組織采取不同的安全策略，但是幾乎所有組織都需要開放80端口(編者注：Web服務端口)，所以廠商和標準組織紛紛傾向于采用運行在HTTP之上、基于文本的協議。

　　當然，攻擊者和惡意軟件也持同樣的態度。

　　因此，在互聯網上發布Web服務的公司傳統上往往使用應用安全網關，這些設備可以讀取并理解應用層文檔，從而能過濾潛在的攻擊。雖然好產品的功能不僅限于XML領域，通常仍稱這類設備為“XML防火墻”。盡管基于瀏覽器的富互聯網應用(RIA)開發人員往往認為XML過于龐雜，而喜歡用JavaScript 對象表示法(JSON)或純文本格式，但REST Web服務仍可在HTTP或URL中對某些信息進行編碼。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: soa SOA 架構 軟件測試 勇敢者 游戲