我有一些通过公共 wifi 连接访问的 Web 服务,我认为颁发证书以加密数据、防止 MITM 和无效模拟(超出 HTTPS 提供的范围)是一个好主意。
我见过的大多数与证书的客户端交互都涉及“胖客户端”,而与 Web 会话或 javascript 的交互并不多。
话虽如此,
我的 javascript 客户端和 Web 客户端应该采用什么样的标准?
传统客户端是否能够使用相同的 Web 界面,或者不同的标准是否合适(WS-*)?
如何使用证书来保护我的 Web 服务?什么可用于 javascript?
信息安全
Web应用程序
证书
网页浏览器
javascript
中间人
2021-09-01 08:08:14
1个回答
如果您想使用胖客户端(独立应用程序、移动应用程序、其他服务器)保护 WS,您可以使用WS-Security协议套件。它广泛用于 SOA 和其他企业部署。它提供了强大的身份验证,以及一些标准化的安全和反重放解决方案。
但是,如果您不想使用 JS,则必须坚持使用身份验证令牌和 ssl。我猜。