security - 移动应用程序的基于 Web 或 SOAP 的集成

Question

我正在为企业移动应用程序架构寻找一些输入。它是一个大型组织，拥有数百个现有的基于 SOAP 的 Web 服务，供基于 Web 的应用程序使用。我们使用服务帐户进行应用程序到 Web 服务的身份验证和授权(Application-N 使用特定的用户名和密码与 Web 服务-N 进行通信)。这些应用程序托管在 Android 市场和 iTunes(iPad 和 Android 应用程序)上。对于这些移动应用程序，我们还需要基于 SAML 的 SSO(目前不支持 OAuth)。

我提出了一种基于 Web 的集成方法，用于从这些应用程序中使用这些 Web 服务以及一个代理服务器来拦截来自移动应用程序的这些请求。因此，流程将是:

移动应用程序使用 HTTP 和 JSON 与代理服务器通信。所有 SAML SSO 工作流均由移动应用程序、服务提供商(代理服务器和身份提供商服务器)处理。

代理服务器使用服务帐户与 Web 服务通信，并对 JSON 的请求和响应进行编码和解码。

这种方法的优点是:

通过基于 Web 的方法进行跨平台移动应用程序开发，如下所示:
What work has been done on cross-platform mobile development?

由于 HTTP 协议(protocol)而不是 SOAP，基于 SAML 的安全集成更容易。

我还看到此项目的 SOAP 存在以下问题:

在 SOAP 请求中使用 SAML 身份验证的一些技巧？

由于 Web 服务身份验证是使用服务帐户完成的，因此您需要在移动应用程序代码中嵌入 Web 服务的密码，我认为这是安全问题

与移动设备的 JSON 相比，编码和取消编码 SOAP 请求和响应的成本很高。

由于我们需要在设备中嵌入 secret (密码)以与 Web 服务通信，这是一个安全问题。 http://www.performantdesign.com/2009/09/03/facebook-iphone-session-proxy-in-php-fbsession-getsessionproxy/所以这个应用服务器充当 session 代理。

这有意义吗？这种方法有什么缺陷吗？

提前谢谢了

Answer 1

实际上，您选择的协议(protocol)不会影响开发人员将要实现的漏洞或设计缺陷的数量。您可以使用任何技术构建一个非常安全的 API。

SOAP 的真正优势在于 WSDL 文件可用于针对服务构建自动化安全测试。因此，当开发人员犯错时，您可以检测到它。在发布新版本的 API 之前，请确保使用 WSFuzzer 之类的内容测试代码.

SOAP 还具有内置于协议(protocol)中的加密和身份验证等功能，因此您不必重新发明。