WS-Security 的互操作性如何？

Question

我最近参与了一个涉及 WCF 服务的项目，并使用 wsHttpBinding 进行身份验证。 并且互操作性不够（他们更喜欢 RESTful 方法，使用 GET 传递凭据..）。

使用 PHP 服务的第三方抱怨说，这种方法在 PHP 中不能开箱即用， 使用 PHP 提供服务，他们的论点站得住脚吗？

扩展一下：

无法在您的语言/环境中开箱即用并不一定是缺乏互操作性的一个很好的论据，而且我并不真正相信他们。不过，我很好奇它在更广泛的范围内的互操作性如何，因为我希望我的服务不仅可以由 .NET 客户端轻松使用。

附加说明：

我使用 TransportWithMessageCredential，凭据在服务中验证，而不是由 IIS 验证。以这种方式向 RESTful 服务提供凭据的首选方式是什么？ （这应该是一个单独的问题吗？）。我只是想知道在这种情况下它是否是一个可行的替代方案。

Answer 1

我的一些客户也遇到了同样的问题（也从 PHP 调用我的服务）。

因此，我们只是公开了一个额外的 basicHttpBinding 端点。

我在该端点中使用传输安全性和用户名密码身份验证。

Answer 2

确实，REST 非常容易在各种编程平台和操作系统上实现（包括 Linux 上的 PHP，这是一种非常常见的设置）。

WS-Security 作为 SOAP 的扩展，是一种标准化协议，并且存在针对 .NET 之外的其他平台的实现。然而，这里的免费库的范围非常有限（对于 PHP，我什么都不知道），这肯定意味着连接到 WS-Security 服务比连接到简单的 REST 服务要付出更多的努力，至少如果该服务使用协议的话超出了普通 SOAP 范围的功能。

还有一件事：HTTP 内置了身份验证支持，因此您绝对可以实现经过身份验证的 RESTful 服务，而无需向请求的 URL 添加凭据。