ws-security是面向soap消息层的安全规范,通过在soap头中嵌入签名、加密和身份凭证实现端到端安全,解决https点对点保护不足及中间节点篡改风险。
WS-Security 是一种面向 SOAP 消息层的安全规范,不是传输层协议,也不依赖 HTTPS 或 SSL。它的核心目标是让每条 SOAP 消息自身携带安全信息,实现端到端保护。
它解决什么问题
传统 HTTPS 只能保障客户端到第一个服务器之间的“点对点”安全;一旦消息经过中间节点(比如网关、路由服务),就可能被解密、查看甚至篡改。WS-Security 把签名、加密、身份凭证等直接嵌入 SOAP 消息头里,不管消息经过多少跳、走什么传输协议(HTTP、TCP、MQ 等),安全属性始终随消息同行。
三大基础能力
• 认证:通过用户名令牌、X.509 证书、SAML 断言或 Kerberos 票据等方式,声明“我是谁”。 • 完整性:用 XML 数字签名保护消息体或特定字段,接收方可验证内容是否被篡改。 • 机密性:用 XML 加密对敏感字段(如密码、身份证号)单独加密,只有目标服务能解密。
关键设计特点
• 安全信息放在 <security></security> SOAP Header 中,与业务内容分离。
• 不绑定具体令牌类型,支持扩展——你可以用自定义 token,也能用标准 X.509 或 OAuth2 JWT。
• 时间戳(<timestamp></timestamp>)和 nonce 配合签名,防止重放攻击。
• 所有机制基于成熟标准(XML Signature、XML Encryption、PKI),不重复造轮子。
实际使用注意点
• 单纯加签名不等于防重放,必须把 Timestamp 和 Nonce 也纳入签名范围。
• 加密粒度可细到某个 XML 元素,中介服务能读路由字段但看不到隐私数据。
• 客户端和服务端需协商策略,比如是否强制含时间戳、用哪种证书格式、哪些字段必须加密。
• 常见报错如 CWWSS5730E: A required timestamp is not found,通常因服务响应没按策略返回时间戳,需调整客户端配置或服务端行为。
基本上就这些。它不复杂,但容易忽略签名覆盖范围、时间戳有效性、令牌信任链这些细节。
