Seguridad con Web Services (actualizado Octubre 2006)
Una referencia básica de web services en Java es por supuesto el Java Web Services tutorial, aunque desde hace unos años los tutoriales de SUN parecen mas
propaganda de Sun One Server que tutoriales sobre J2EE.
A fecha de Octubre de 2006 la mayoria de mecanismos para implementar seguridad en Web Services, se basan
en asegurar la capa HTTP subyacente en SOAP, por ejemplo mediante el uso de AXIS sobre algun Servidor HTTP. Como muestra un boton este ejemplo (año 2003) de WS sobre SSL (con HTTPS) que usa AXIS (con .bats para Windows)
En el año 2005 el Web Services Tutorial de SUN indica como desplegar Servicios Web seguros basados en JAAS, pero solo usanso su Sun One Server Studio. Esta
es una política bastante habitual desde hace cosa de dos años.
En resumen hasta la fecha para implementar seguridad sobre Web Services:
- Con la version actual de AXIS es necesario bajar a nivel de HTTP.
- Si usas un servidor que soporte JAAS (en teoria cualquier servidor J2EE debería valer, por cierto no confudir JAAS con SAAJ) puedes montarlo a nivel de Java
Existe una extension de SOAP llamada SOAP Dsig que implementa seguridad en
los propios mensajes SOAP. Una implementación de esto es el XWSSecurity de
Java que está implementado en el servidor J2EE Open Source GlassFish y que
está incluido en la JDK 1.5.
De hecho hasta 2006 el principal "paquete" para trabajar con Web Services
era el JWSDP, pero en el JavaOne conference de 2006 Java prometio que
volcaría un gran esfuerzo en GlassFish y que una consecuencia sería que el
paquete de Web Services estaría integrado el epropio GlassFish.
|
