無論您的公司有多大或做什么，在為所有應用程序選擇 Web 服務時，安全性都是首要考慮因素。這是一篇系列文章中的第一篇，介紹了在實施 Web 服務時確定安全級別和要求的 10 個最重要的因素。

安全要求：在深入探討決定安全要求的 10 個最關鍵因素之前，讓我們簡要討論一下 Web 服務安全要求。關鍵的 Web 服務安全要求是身份驗證、授權、數據保護和不可否認性。

身份：驗證 身份 驗證確保使用 Web 服務所涉及的每個實體——請求者、提供者和代理（如果有的話）——都是它實際聲稱的。身份驗證涉及接受來自實體的憑據并根據授權對其進行驗證。

授權：授權確定服務提供者是否已將 Web 服務的訪問權限授予請求者。基本上，授權確認服務請求者的憑據。它確定服務請求者是否有權執行操作，范圍可以從調用 Web 服務到執行其功能的某個部分。

數據保護：數據保護確保 Web 服務請求和響應在途中未被篡改。它需要保護數據完整性和隱私。值得一提的是，數據保護并不能保證消息發送者的身份。

現在我們已經了解了 Web 服務安全的構成要素，我們將研究影響 Web 服務實現的十大安全因素。

前 10 項決定因素

決定使用 Web 服務的安全要求的前 10 項基本因素如下：

1.Web 服務是用于 EAI 還是 B2Bi？

Web 服務可用于兩個不同的領域——企業應用程序集成 (EAI) 和企業對企業集成 (B2Bi)。EAI 域的安全要求是 B2Bi 的一個子集，因為在 Intranet 中控制、管理、查找、執行和維護 Web 服務比在 Internet 上跨越公司防火墻使用它們要容易得多。雖然 EAI 的 Web 服務應該有一個級別的身份驗證并且很少使用加密，但 B2Bi 的 Web 服務可能涉及多個級別的身份驗證并且應該始終使用加密。此外，在 B2Bi 域的情況下，與 Web 服務請求和響應對應的消息可能需要使用以下一種或多種加密：、數字簽名和安全套接字層 (SSL)。但是，對于在企業網絡中用于 EAI 項目的 Web 服務，應盡可能避免使用 SSL。最后，不可否認性對于 B2Bi 域中的 Web 服務很有用，因為它可以防止惡意發件人后來否認已創建并發送了特定消息。

2.Web 服務的目的是什么？

如果 Web 服務只公開面向公共信息的業務流程或數據，例如今天城市的天氣或公司的股票報價，則安全要求比公開私人業務信息的 Web 服務要寬松。

3.誰是 Web 服務的訂戶？

了解 Web 服務的訂閱者是誰對于確定 Web 服務的授權和身份驗證特性很重要。

4.是否可以通過 Internet 調用該服務？

Web 服務是否僅限于受信任的貿易伙伴，或者任何公司都可以通過 Internet 調用 Web 服務？除了數據保護和不可否認特性之外，這對于 Web 服務的授權和身份驗證特性至關重要。

5.底層應用程序的安全性如何？

Web 服務為底層應用程序提供什么級別的訪問？訪問是否應該基于授權和權利？對底層應用的訪問越多，對授權和認證安全的要求就越高。

6.Web 服務是面向事務的嗎？

如果事務分布在多個實體中，安全威脅會更高。

7.使用什么協議？

什么網絡協議處理服務請求者和提供者之間的身份驗證和數據傳輸？了解是否需要數據安全非常重要，因為任何人都可以嗅探 Web 服務請求和響應，這些請求和響應將作為純 XML 文檔在網絡上傳輸。如果是 HTTPS，則不需要任何額外的加密/解密算法，因為 HTTPS 提供了它。

8.是否需要驗證發件人/收件人？

是否需要保證 Web 服務請求和響應消息的發送者與消息的創建者相同？出于審計目的并確保發送者和創建者是同一實體可能需要此信息。如果 Web 服務用于 B2Bi，則通常需要不可否認的安全要求。

9.誰參與服務？

Web 服務的使用涉及多少不同的實體；即，Web 服務是否具有實體鏈接功能？如果有多個實體，則需要更高的安全功能。

10.是否使用了組件鏈？

Web 服務的實現代碼中是否存在應用程序鏈接和組件鏈接功能？如果應用程序鏈跨越公司防火墻，安全要求就會變得更加嚴格。

值得一提的是，現階段Web服務的安全技術標準，如行業標準和Web服務中使用數字簽名的支持等，仍在定義和制定中。因此，請繼續關注本系列后續文章的最新動態。

在實施 Web 服務之前覆蓋您的所有基礎

從長遠來看，安全的互操作性是 Web 服務成功的關鍵。警惕 Web 服務中潛在的安全漏洞，因為它們容易受到各種安全威脅的攻擊，例如拒絕服務和欺騙。在上述問題得到明確回答并考慮到公司內部的安全策略和現有解決方案之前，不應開始實施任何 Web 服務技術。