1
我正在向我的web服務添加安全性,並選擇簽署Timestamp和Token。使用ws-security簽名郵件時簽名什麼
在閱讀文檔時,我發現了很多例子,他們在SOAP消息的Body上簽名。
我的問題是:什麼是最好的簽名?
從我所瞭解的簽署Body可能會導致性能問題,如果Body是相當大的。
謝謝。
A
回答
2
你應該簽署整個郵件正文。
XMLDSIG在< SignedInfo>中定義的引用部分的摘要上執行。與PKI操作相比,通過大型主體運行SHA1等哈希算法花費的時間很少。你不應該擔心表現。
0
如果客戶端通過HTTPS向服務器發送WS-Secure SOAP請求,我的理解是,即使有人嗅探了流量,他們也無法解密它來查看SOAP消息,因此無法修補它。所以我沒有看到需要雙向SSL。
當通過HTTPS使用WS-Secure時,我們不能讓HTTPS負責加密並簡單地使用WS-Secure進行身份驗證(即簽署SOAP消息的某些部分(時間戳或身體或其他內容))?
+0
您假定攻擊者處於中間,但大多數SOAP消息並非如此。任何人都可以通過HTTPS向您發送被篡改的消息。如果沒有雙向SSL,則無法證明該消息來自可信方。 – 2010-05-27 19:37:53
+0
@ZZ編碼器,但我用我的私鑰簽名消息,然後服務器用我的公鑰解密,所以它會知道它來自我(如果我簽署全身不只是時間戳),是不是正確? – 2010-05-27 20:02:04
相關問題
- 1. 用於WSSecurity與數字簽名的SOAPHandler
- 2. ClickOnce簽名 - 實際簽名是什麼?
- 3. 使用封套簽名時簽名
- 4. 簽名jar文件時簽名文件(* .SF)的用途是什麼?
- 5. 簽名apk安卓版。 Android使用該簽名的是什麼?
- 6. 使用C#簽名電子郵件
- 7. CMS簽名 - 有什麼區別時間戳和計數簽名
- 8. Java - 電子郵件簽名
- 9. 電子郵件簽名
- 10. 什麼阻止我複製在簽名板上簽名的簽名?
- 11. 什麼是簽名提交?
- 12. 爲什麼String.Length被簽名?
- 13. Dropbox OAuth簽名是什麼?
- 14. 使用PHP簽名數字簽名
- 15. PHPMailer簽名郵件 - >空身+沒有簽名
- 16. 簽名和電子郵件 - 找不到原始簽名者
- 17. InPerson簽名不是自動填寫簽名者電子郵件
- 18. 代碼簽名:何時和爲什麼?
- 19. 什麼是運行時簽名?
- 20. 使用獨立簽名簽署文件
- 21. Laravel 5:用DKIM簽名電子郵件
- 22. 用DKIM手動簽名郵件
- 23. .F4V的文件簽名是什麼?
- 24. 使用PHPMailer發送郵件時可以添加簽名嗎?
- 25. 使用PHP發送郵件時DKIM簽名不驗證
- 26. 使用簽名證書對代碼進行簽名的過程是什麼?
- 27. Gradle中的簽名插件和簽名套件有什麼區別?
- 28. Mac - 開發者ID - 代碼簽名 - 什麼得到簽名?
- 29. Jar簽名者和Apk簽名者之間有什麼區別?
- 30. 電子簽名和數字簽名有什麼區別?
什麼問題只簽署時間戳? – 2010-05-26 13:39:36
簽名時間戳僅限制重放攻擊窗口。消息的其他部分仍然可以在未檢測到的情況下進行更改此外,簽名只是部分信息實際上很難。 – 2010-05-26 14:57:30
這也是圖書館的一個不幸的限制,如果您選擇並選擇了簽名涵蓋的內容,則沒有可用的查詢機制來僅檢索文檔的該部分。櫻桃採摘是一個非常非常深的兔子洞,在這裏黑暗和寒冷。 – Jason 2010-05-26 19:08:04