第五章Web服务安全试题.pptx

第五章;目录;5.1 Web服务; Web服务（Web Services）主要是为了使原来各孤立的站点之间的信息能够相互通信、共享而提出的一种接口，通过借鉴和利用现有的Internet开发互连标准在各种平台基础上构建一个通用的、与平台无关的、与语言无关的技术层规范，来实现不同平台应用的互连和操作，为进一步信息共享、推广和开发各类Internet应用提供最佳手段，也为网格计算等技术注入新的活力。 然而，Web服务目前还没有一个公认的确切定义。从表面上看，Web服务就是一个应用程序，它向外界暴露出一个能够通过Web进行调用的应用程序编程接口（API），就是说，用户能够用编程的方法通过Web调用来实现某个功能的应用程序。大致上，Web服务有以下两种表述。 ;1．Web服务是一组应用程序;2．Web服务是一组服务; 因此，Web服务具有完好的封装性、松散耦合，使用标准协议规范，高度可集成能力、可跨越防火墙等特征，因而具有广阔的应用前景。它为B2B通信和系统整合提供了巨大的可能性，但因缺乏一个有效的安全解决方案，使得Web服务不能方便地应用于企业业务。 而Web服务的基本架构由三个角色和三个基本操作构成。三个角色分别为服务提供者（Service Provider）、服务请求者（Service Request）和服务注册中心（Service Registry），三个基本操作分别为发布（Publish）、查找（Find）和绑定（Bind）。 这些角色和操作一起作用于Web服务构件：Web服务软件模块及其描述。服务提供者定义Web服务的服务描述并把它发布给服务请求者或服务注册中心。服务请求者使用查找操作来从本地或服务注册中心检索服务描述，然后使用服务描述与服务提供者进行绑定，并调用Web服务实现或与它交互。服务提供者和服务请求者是逻辑结构，因而服务可以表现两种特性。这些操作和提供这些操作的组件以及它们之间的交互，如图5.1所示。;其中，各角色的功能描述如下： （1）服务提供者。从企业的角度看，这是服务的所有者。从体系结构的角度看，这是托管访问服务的平台。服务提供者用WSDL描述Web服务的接口。 （2）服务请求者。从企业的角度看，这是要求满足特定功能的企业。从体系结构的角度看，这是寻找并调用服务，或启动与服务交互的应用程序。服务请求者角色可以由浏览器来担当，由人或无用户界面的程序（例如，另外一个Web服务）来控制它。服务请求者使用SOAP来调用Web服务对象提供的接口。; （3）服务注册中心。这是可搜索的服务描述注册中心，服务提供者在此发布他们的服务描述。在静态绑定开发或动态绑定执行期间，服务请求者查找服务并获得服务的绑定信息（在服务描述中）。对于静态绑定的服务请求者，服务注册中心是体系结构中的可选角色，因为服务提供者可以把描述直接发送给服务请求者。同样，服务请求者可以从服务注册中心以外的其他来源得到服务描述，例如本地文件、FTP站点、Web站点、广告和服务发现（Advertisement and Discovery of Services，ADS）或发现Web服务（Discovery of Web Services，DWS）。  ;三个基本操作说明如下： （1）发布。为了使服务可访问，需要发布服务描述以使服务请求者可以查找它。发布服务描述的位置可以根据应用程序的要求而变化。 （2）查找。在查找操作中，服务请求者直接检索服务描述或在服务注册中心中查询所要求的服务类型。对于服务请求者，可能会在两个不同的生命周期阶段中牵涉查找操作：在设计时为了程序开发而检索服务的接口描述及在运行时为了调用而检索服务的绑定和位置描述。 （3）绑定。因为最终目的是为了绑定服务，所以在绑定操作中，服务请求者使用服务描述中的绑定细节来定位、联系和调用服务，从而在运行时调用或启动与服务的交互。Web服务使用动态绑定方式，这说明使用Web服务的应用程序可以是动态设计，并在运行时将客户绑定到指定服务器上。 ;由图5.1可以看出，Web服务构件包括服务和服务描述两类： （1）服务。在这里，Web服务是一个由服务描述来描述的接口，服务描述的实现就是该服务。服务是一个软件模块，它部署在由服务提供者提供的可以通过网络访问的平台上。服务存在的原因就是要被服务请求者调用或者与服务请求者交互。当服务的实现中利用到其他的Web服务时，它也可以作为请求者。 （2）服务描述。服务描述包含服务的接口和实现的细节，其中包括服务的数据类型、操作、绑定信息和网络位置等。服务描述可以发布给服务请求者或服务注册中心。 ; 要