Webservice 安全与应用

		

	 

	从表面上看，Web service 就是一个应用程序，它向外界暴露出一个能够通过Web进行调用的API。这就是说，你能够用编程的方法通过Web来调用这个应用程序。我们把调用这个Web service 的应用程序叫做客户。

	 

	下面是对Web service 更精确的解释：Web services是建立可互操作的分布式应用程序的新平台。作为一个Windows程序员，你可能已经用COM或DCOM建立过基于组件的分布式应用程 序。COM是一个非常好的组件技术，但是我们也很容易举出COM并不能满足要求的情况。Web service平台是一套标准，它定义了应用程序如何在Web上实现互操作性。你可以用任何你喜欢的语言，在任何你喜欢的平台上写Web service ，只要我们可以通过Web service标准对这些服务进行查询和访问。

	 

	Webservice协议：

	 

	Web service平台需要一套协议来实现分布式应用程序的创建。任何平台都有它的数据表示方法和类型系统。要实现互操作性，Web service平台必须提供一套标准的类型系统，用于沟通不同平台、编程语言和组件模型中的不同类型系统。在传统的分布式系统中，基于界面(interface)的平台提供了一些方法来描述界面、方法和参数(译注：如COM和COBAR中的IDL语言)。同样的，Web service平台也必须提供一种标准来描述Web service，让客户可以得到足够的信息来调用这个Web service。最后，我们还必须有一种方法来对这个Web service进行远程调用。这种方法实际是一种远程过程调用协议(RPC)。为了达到互操作性，这种RPC协议还必须与平台和编程语言无关。下面我们就简要介绍了组成Web service平台的这三个技术。

	 

	XML和XSD：

	 

	XML解决了数据表示的问题，但它没有定义一套标准的数据类型，更没有说怎么去扩展这套数据类型。例如，整形数到底代表什么?16位，32位，还是64 位?这些细节对实现互操作性都是很重要的。W3C制定的XML Schema(XSD)就是专门解决这个问题的一套标准。它定义了一套标准的数据类型，并给出了一种语言来扩展这套数据类型。Web service平台就是用XSD来作为其数据类型系统的。当你用某种语言(如VB.NET或C#)来构造一个Web service时，为了符合Web service标准，所有你使用的数据类型都必须被转换为XSD类型。

	SOAP：

	 

	Web service建好以后，你或者其他人就会去调用它。简单对象访问协议(SOAP)提供了标准的RPC方法来调用Web service。实际上，SOAP在这里有点用词不当：它意味着下面的Web service是以对象的方式表示的，但事实并不一定如此：你完全可以把你的Web service写成一系列的C函数，并仍然使用SOAP进行调用。SOAP规范定义了SOAP消息的格式，以及怎样通过HTTP协议来使用SOAP。SOAP也是基于XML和XSD的，XML是SOAP的数据编码方式。

	WSDL：

	 

	你会怎样向别人介绍你的Web service有什么功能，以及每个函数调用时的参数呢?你可能会自己写一套文档，你甚至可能会口头上告诉需要使用你的Web service的人。这些非正式的方法至少都有一个严重的问题：当程序员坐到电脑前，想要使用你的Web service的时候，他们的工具(如Visual Studio)无法给他们提供任何帮助，因为这些工具根本就不了解你的Webservice。解决方法是：用机器能阅读的方式提供一个正式的描述文档。Web service描述语言(WSDL)就是这样一个基于XML的语言，用于描述Web service及其函数、参数和返回值。因为是基于XML的，所以WSDL既是机器可阅读的，又是人可阅读的，这将是一个很大的好处。一些最新的开发工具 既能根据你的Web service生成WSDL文档，又能导入WSDL文档，生成调用相应Web service的代码。

	Wse介绍：

	 

	微软发表了构筑Web服务应用程序所需的附加套件“Web Services Enhancements 1.0（WSE）”。该套件可以使Web服务应用程序支持WS-Security、WS-Routing、WS-Attachments等规格

	WS-Security是IBM、微软、VeriSign联手打造的Web服务安全标准。三公司向XML相关标准化团体OASIS（结构化信息标准促进组织）提交了该标准，并在OASIS内部发起成立了技术委员会。

	WS-Routing是指此前被称为SOAP-RP的、SOAP的扩展规格，规定了SOAP信息头中的地址记述方法。     WS-Attachments是指记述了向SOAP信息中添加二进制数据的方法的规格，是由微软与IBM于2002年7月共同向标准团体IETF（因特网工程任务组）提出的。

	WSE的主要特点如下：

	 

	安全性：支援涉及整个平台的安全的XML Web服务的构筑。具有用于对SOAP信息进行电子签名和加密的功能。支持WS-Security规格；

	路由功能：使用WS-Routing规格，对SOAP信息进行中继，并负责XML Web服务的路由；

	添加功能：可以向在XML Web服务之间进行交换的SOAP信息中添加二进制数据。该功能基于WS-Attachments标准；

	扩展架构：通过对处理SOAP信息的系统进行扩展，并与适当的安全基础相配合，就能够定制加密和签名功能。

	 

	作者 熬夜的虫子
						
		
	

补充：综合编程 , 安全编程 ,

上一个：跨特权级调用
下一个：hessian的http基本安全认证