Web Service 场景
相关项: API 测试
默认 Web Service 场景基于 WS-安全性规范。此场景允许您将安全凭据放入实际 SOAP 消息中。
当 SOAP 消息发送方发送一个请求时,安全凭据(称作令牌)会被放入 SOAP 消息。当 Web 服务器接收到 SOAP 请求时,它不需要通过发送额外的请求来验证发送方的诚信度。服务器会先验证凭据是否可信,之后再让 Web Service 执行应用程序。由于不必退回到凭据的来源处,因此应用程序的性能显著提高。
为了进一步保护 Web Service,通常会对 SOAP 消息使用数字签名或加密。对 SOAP 消息进行数字签名可以验证消息在传输过程中未被改变。加密 SOAP 消息使预期接收方以外的任何其他人都难以读取消息内容,从而帮助保护 Web Service。
传输级别安全性
传输层安全性包括身份验证和代理服务器信息。您还可以指定保持连接首选项和连接超时。
消息级别安全性
WS-安全性选项卡允许您通过令牌、签名和加密来设置消息级别安全性。
为了支持 WS-安全性,UFT One 允许您为脚本创建安全令牌。您可以创建多个令牌并设置它们的属性。创建一个令牌之后,可以使用它对 SOAP 消息进行签名或加密。
Web Service 安全机制将安全令牌与消息相关联。这种机制支持几种安全令牌格式,以适应各种身份验证要求。例如,某个客户端可能需要提供身份标识证明或安全证书。
可以使用以下令牌:
向 SOAP 消息中添加安全令牌时,它将以 XML 元素的形式添加到 SOAP 消息中(在 WS-安全性 SOAP 标头中)。但此消息是公开的,因而需要额外的安全性。对于基于角色的安全性,以明文发送凭据(包括密码)时尤其如此。
有两种方法可用于确保数据安全,它们是消息签名和消息加密:
-
消息签名。接收方使用消息签名来验证自签名以来消息未被更改。签名以 XML 的形式添加到 SOAP 消息内。接收方需要检查签名,以确保它是有效的。
-
消息加密。虽然 XML 消息签名提供了一种验证消息自签名以来未被更改的机制,但它不会加密 SOAP 消息 —— 消息仍然是 XML 格式的明文。为了保护消息使之不被公开,可以对它进行加密,使入侵者无法查看和获取用户密码。