使用 ws-security 签署消息时要签署什么

Question

我正在向我的 Web 服务添加安全性，并选择签署 Timestamp 和 Token。

在阅读文档时，我发现了很多示例，其中他们对 SOAP 消息的 Body 进行签名。

我的问题是：什么是最好的签名？

据我了解，如果 Body 非常大，则签署 Body 可能会导致性能问题。

谢谢。

Answer 1

您绝对应该签署整个消息正文。

XMLDSIG 对中定义的引用部分的摘要执行。与 PKI 操作相比，在大型主体中运行 SHA1 等哈希算法只需很少的时间。您不应该担心性能。

Answer 2

如果客户端通过 HTTPS 向服务器发送 WS-Secure SOAP 请求，我的理解是，即使有人嗅探流量，他们也无法解密以查看 SOAP 消息，因此无法对其进行修改。所以我认为没有必要使用双向 SSL。

当通过 HTTPS 使用 WS-Secure 时，我们是否可以不让 HTTPS 负责加密，而只使用 WS-Secure 进行身份验证（即签署 SOAP 消息的某些部分，时间戳、正文或其他内容）？