1
我爲我們的客戶創建了一個Web服務,並使用帶有PasswordDigest的用戶名令牌(帶有時間戳,隨機數和加密密碼)來保護它。其中一個客戶端使用的軟件不支持PasswordDigest,只有純文本的用戶名和密碼。基於SOAP的WebService安全
我對SOAP-Header中的純文本密碼感到有些不舒服。但整個流量正在使用HTTPS進行保護。
我的問題:使用HTTPS,即使將安全要求從PasswordDigest更改爲PasswordText,它是否仍然足夠安全?
我的要求是:
- 客戶端必須使用一個用戶名進行身份驗證,因爲我必須知道哪些客戶端訪問Web服務和
- 任何人在這方面的中間人絕在SOAP標頭中看不到純文本密碼!