Skytecs Entwicklerblog

Username und Passwort in SOAP

Auch Webservices wollen abgesichert werden - nur, weil sie nicht in einem Browser dargestellt werden und normalerweise nicht in Suchmaschinen auftauchen sind die kleinen Biester keineswegs weniger Sicherheitsbedürftig als eine normale Website. Jetzt fragt sich nur, wie man das mit der Sicherheit realisieren will, schließlich gibt es da doch verschiedene Ansätze, die man umsetzen kann, um aus ihnen Umsätze zu generieren.

Den einfachsten Fall lasse ich einfach mal außer Acht, weil er ästhetisch schlichtweg unbefriedigend ist: In der Methodensignatur Parameter für Usernamen und Passwort aufzunehmen, ist etwa so stillos wie guter Whisky, den man mit Eistee mischt. Wenn man diese Variante mal ausschließt, bleibt dann eigentlich nur noch, die Headerfelder der SOAP-Message zu verwenden - auch dann kommt aber keine Langeweile auf, denn auch hier gibt es Entscheidungen, die getroffen werden wollen.

Einfach, dafür aber eher proprietär, ist es, wenn man sich einfach selber ein paar Headerfelder für die Userdaten einfallen lässt. Sowas ist flink umgesetzt, von Standardisierung kann aber kaum die Rede sein. Das sieht schon besser aus, wenn man die von OASIS definierten Header für die Authentifizierung nutzt - sowas wird mit etwas Glück auch von fremden Diensten verstanden. Die Lösung krankt höchstens noch daran, dass sie irgendwie nicht besonders schick aussieht, aber auch für Softwareästheten gibt es eine geeignete Lösung: Die Ablage von XML-Signature-Blöcken im Header, das kommt stilvoll rüber und funktioniert nicht nur mit SOAP, sondern auch mit so ziemlich jeder anderen XML-basierten Kommunikationsform.

Wie man sieht, führen viele Wege nach Rom, die allesamt mindestens wie Bundesstraßen oder gar Autobahnen aussehen. Den Fußweg über die Felder in die italienische Hauptstadt, d.h. die Verseuchung der Methodensignatur mit Anmeldeinformationen, kann man sich also erfreulicherweise wirklich sparen.