WS-Security


Wie der Name schon vermuten lässt, dreht es sich bei dieser Webservice-Spezifikation um die Sicherheit. Konkret schreibt sie vor, wie Nachrichtenintegrität und –verschlüsselung im Rahmen von Webservices sichergestellt werden sollen. Dabei kann man mit WS-Security den Original-Sender identifizieren, überprüfen ob der Nachrichteninhalt manipuliert wurde und das wirklich nur der Empfänger die verschickten Informationen lesen kann.

Dabei ersetzt WS-Security keine schon existierenden Sicherheitstechniken, sondern setzt viel mehr auf bereits bestehende „Verfahren“ auf (XML-Signature und XML-Encryption)1. Der Grund warum man bei Webservices auf WS-Security zurückgreifen sollte und nicht auf Standardtechniken wie SSL, IPSec oder HTTP-S liegt daran, dass letztere lediglich point-to-point-Verbindungen absichern, aber keine end-to-end-Integrität und Vertraulichkeit gegeben ist. Dies wird aber gerade bei Webservices benötigt, da diese sich oft über mehrere Systeme erstrecken, die wiederum verschiedene Sicherheitsdomänen und Technologie einsetzen.

WS-Security beinhaltet drei Hauptmechanismen für die Sicherheit:
  1. Securitytoken - Authentifizierungsinformationen
  2. Signierung von Nachrichten – Für die komplette oder einen Teil einer Nachricht
  3. Verschlüsselung von Nachrichten

Quellen:
1 - http://de.wikipedia.org/wiki/WS-Security

Artikel vom 01.04.2014

Kommentare zum Artikel

comments powered by Disqus