自定义SoapHeader
0
悬赏园豆:50
[已解决问题]
浏览: 933次
解决于 2009-12-16 12:29
<table class="mtxt" cellspacing="0" cellpadding="0">
<tbody>
<tr>
<td id="body">
<div class="msgfont">自定义了SoapHeader,进行用户身份验证。如Header中有 UserID = 加密后的用户名 , Pwd = 加密后的密码 <br />因为一般来说 这个 UserID 和 Pwd 是不会变的 <br />别人可以不可以通过什么软件拦截到SoapHeader头信息,并获取到 UserID 和 Pwd 的值? <br />如果能拦截并获取到这个值,那 UserID = 明文 ,Pwd=明文 与 UserID = 加密后的用户名 <br />加密后的 密码 不就是一样的了吗? 只要别人拦截到,分析 Header 中的信息,获取后,直接把获取到的信息传过来, <br />那就不也一样能通过验证的,现在很疑惑?</div>
<!-- google_ad_section_end --><!--End_body//--></td>
</tr>
<tr>
<td> </td>
</tr>
<tr>
<td> </td>
</tr>
</tbody>
</table>
最佳答案
0
你说的是两个概念,拦截你的消息是传输安全,你可以用ssl;而加密传输内容是指的消息安全性,出了加密消息,你也可以用令牌。
你可以根据系统实际应用场景来决定是否两者用,或者只选其一
收获园豆:50
使用 SSL 加密后传输,是否别人就不能拦截到你的信息,如果拦截到的话,那使用ssl就与上面说的一样了,疑惑? 越弄越糊涂?
@jayccx:呵呵,这个属于安全性问题了,推荐你看看
Improving Web Services Security
