安全、可靠、交易的 Web 服務：架構和組合

如果我傳送以法文撰寫的信件，但您預期有英文電話，我們不會通訊。 Web 服務的互通性面臨相同的問題;我們藉由提供一組常見的傳輸和傳訊技術來解決此問題。

If I send a letter in French, but you are expected to have a phone call in English, we will not communicate. The interoperability of web services faces the same problem; we solve it by providing a common set of transmission and communication techniques.

此外，為了確保這些技術在實務上有效，IBM、Microsoft 和其他人員建立了 Web 服務互通性組織 (WS-I) 。 最近，WS-I 發行了一個基本設定檔，正式記載可互通的 Web 服務傳輸和傳訊機制。

In addition, to ensure that these technologies are operationally effective, IBM, Microsoft, and others have established the Web Services Interconnectivity Organization (WS-I). Recently, WS-I issued a basic configuration file to officially record an interoperable web service transfer and transmission system.

3.2.1 傳輸 — HTTP、HTTP/S、SMTP

這組規格會定義在 Web 服務之間移動原始資料的核心通訊機制。

This set of rules defines the core communication mechanism for moving raw data between web services.

HTTP、HTTP/S 和 Simple Mail Transport Protocol (SMTP) 是此群組中的範例。 Web 服務實作可能會另外支援其他傳輸，但請務必支援標準、可互通的通訊協定。

HTTP, HTTP/S and Smple Mail Transport Protocol (SMTP) are examples of this group. The Web service does support other transmissions that may otherwise be supported, but requires that standard, interoperable communication protocols be supported.

3.2.2 訊息格式 — XSD

下一組規格會定義編碼 Web 服務訊息以進行傳輸的互通性機制。 傳輸會在服務之間移動「位元組」區塊。 只有在參與者可以將位元組轉換成其應用程式所處理之實用資料結構時，這才有用。

The next set of rules defines the interoperability system for encoded Web service messages for transmission. Transfers move the bytes block between services. This will be useful only if the participants can convert the bytes to the actual data structures processed by their applications.

傳訊規格群組會定義如何正確格式化訊息。 XML 和 XML 架構定義提供機制，以抽象方式同意訊息 (資料) 結構。 SOAP 會定義標準編碼，以表示服務透過傳輸交換之位元組資訊中的 XML 訊息。

The XML and XML structures provide the right formatting of messages. defines the standard encoding to indicate the XML message in the byte message that the service has exchanged through the transfer.

訊息和回應都會移至某處，並來自某處。 WS-Addressing 提供可互通的傳輸獨立方法來識別訊息傳送者和接收者。 WS-Addressing也提供更精細的方法，以識別傳送或應該接收訊息之服務內的特定元素。

WS-Addressing provides an interoperable, stand-alone method to identify senders and receivers. WS-Addressing also provides a more sophisticated way to identify specific elements in a service that transmits or should receive messages.

現今大部分使用 Web 服務的系統，都會使用 HTTP 傳輸中放置的 URL 來編碼 Web 服務訊息的目的地。 回應的目的地取決於傳回傳輸位址。 此方法是以 HTTP 的基本瀏覽器伺服器模型為基礎。

Most web-service systems today use URLs placed in the HTTP transfer to encode the destination of the web-service message. The response destination depends on the address of the return transfer. This method is based on the basic HTTP browser server model.

使用現今的方法，來源和目的地資訊不是訊息本身的一部分。 這可能會造成數個問題。 例如，如果傳輸連線終止 (，則資訊可能會遺失，例如，如果回應需要很長的時間，且連線逾時) ，或訊息是由防火牆等媒介轉送。

This may cause several problems. For example, if transmission ends (and information is lost, for example, if the response takes a long time and the connection is over), or if the message is transmitted by a medium such as a firewall.

WS-Addressing提供一種機制，可將目標、來源和其他重要位址資訊直接放在 Web 服務訊息中。 簡單地說，WS-Addressing將位址資訊與任何特定傳輸模型分離。

WS-Addressing provides a mechanism to direct target, source, and other important address information to web services. Simply put, WS-Addressing separates address information from any given transmission model.

在許多情況下，訊息會直接以服務為目標，而且只要使用 URL 即可描述訊息中的定址資訊。 但在實務上，我們通常會發現訊息是以服務內的特定元素或資源為目標。 例如，協調服務可能會協調許多不同的工作。 協調器必須將大部分的傳入訊息與它所管理的特定工作實例產生關聯，而不是協調服務本身。 

In many cases, the message is directly aimed at services, and it can describe the location information in the message simply by using the URL. In practice, however, we usually find that the message is targeted at specific elements or resources in the service.

WS-Addressing提供簡單但功能強大的機制，稱為 端點參考 ，可定址服務所管理的實體。 雖然這類資訊可以在服務的 URL 內以臨機操作方式編碼，但端點參考會提供標準 XML 元素，讓結構化方法來編碼這種精細的定址。

WS-Addressing provides a simple but powerful scheme, known as endpoint reference , to the entity managed by the location service. While this type of information can be encoded in the service's URL, the peer reference provides a standard XML element that allows the structure to encode a precise location.

與訊息來源和目的地的傳輸中性編碼結合的精細控制組合，可讓 Web 服務訊息透過媒介在各種傳輸之間傳送，並同時啟用非同步和延長的持續時間通訊模式。

Combining with the transfer-neutral code of the source and destination of the message allows web service messages to pass through the medium between different transmissions and at the same time activates non-synchronous and prolonged continuous time communication mode.

WS-Addressing也可讓傳送者指出回應應該以與傳輸無關的方式前往何處。 訊息的回應不一定會移至寄件者。 例如，在 HTTP 中，如果沒有WS-Addressing就無法指定應該在其他地方傳送回應。

WS-Addressing also allows the sender to point out where the response should go in a way that is not related to the transmission. Messages are not always moved to the sender. For example, in HTTP, without WS-Addressing, it is not possible to specify that the return should be sent elsewhere.

這些傳訊模型的增強功能可讓 Web 服務用來支援許多商務案例。 例如，某些銀行工作需要人工檢閱，以在特定步驟進行核准。 工作在任何時間點通常有許多作用中的實例。 WS-Addressing提供一般機制，讓傳入或傳出訊息與特定工作產生關聯。 服務使用的機制對透過端點參考使用服務的機制是透明的。

The enhanced functionality of these communication models can be used by Web services to support many business cases. For example, some banks need to be manually inspected for approval at certain steps.

傳輸和訊息規格可讓 Web 服務使用訊息進行通訊。 但參與者如何知道訊息是什麼？ Web 服務檔或描述其傳送和接收的訊息的方式為何？ 使用 Web 服務需要瞭解 Web 服務將取用並產生之訊息，也就是 Web 服務的 介面 。 規格的描述群組可讓 Web 服務表達其介面和功能。

Transfer and message codes allow Web services to use messages for communication. But how do participants know what the messages are? What is the way the Web service files or describe the messages they send and receive? Using Web services requires information about the messages that Web services will use and generate, i.e. interface for Web services .

除了訊息互通性之外;這些規格也會啟用 開發工具互通性。 描述規格提供標準模型，可讓來自不同廠商的不同工具共同支援開發人員。 Web 服務與實作和基礎結構選擇隔離合作夥伴的方式相同，描述規格會將合作夥伴與開發工具選項隔離。

In addition to information interconnectivity, these codes also enable the development tool interoperability. descriptions provide standard models that allow different tools from different manufacturers to support developers. Web services and implementation and foundation structures choose to separate partners in the same way that they separate partners from development tool selection.

3.3.1 WSDL

Web 服務描述語言 (WSDL) 和XML 架構 (XSD) 是此群組中的基底規格。 XML 架構可讓開發人員和服務提供者定義資料結構的 XML 類型，例如採購單和訊息，例如 CreatePO 訊息。 WSDL 可讓 Web 服務記錄接收和傳送的訊息。 換句話說，服務在接收和傳送的訊息方面會執行哪些「動作」或「函式」。

Web Service Description Language (WSDL) and in this group. The XML Structure allows developers and service providers to define data structures like XMLs, such as purchase orders and messages, such as CreatePo messages. WDL allows the service to record messages received and sent.

WS-Policy 可讓服務指定其預期呼叫端的內容，以及其實作其介面的方式。 WS-Policy是達到服務較高層級功能作業互通性的關鍵。 安全性、交易、可靠的傳訊和其他規格需要具體WS-Policy架構。 這些可讓服務描述其預期的功能保證，並提供給來電者。

WS-Policy allows the service to specify the content of its intended caller and the way it actually works. WS-Policy is the key to the interoperability of higher-level functional services.

WS-Policy架構提供定義原則運算式的基底模型。

The WS-Policy setup provides a base model that defines the principle mode of operation.

WS-Policy 支援匯總原則語句的文法，並允許建構更有彈性且完整的原則集。

WS-Policy supports the grammar of the general text and allows the construction of more robust and complete sets of principles.

WS-PolicyAttachment 會指定如何將原則集與 XML 訊息和 WSDL 元素產生關聯， (作業和 portTypes) 。

WS-PolicyAttachment specifies how to associate the original set of principles with XML messages and WSDL elements (doing and porttypes).

WS-Policy和WS-PolicyAttachment提供架構。 個別規格會定義其網域特定的原則語句和架構。

WS-Policy and WS-PolicyAttachment provide the architecture. A different rule defines the language and structure of its domain.

最後， @PageWS-PolicyAssertions 提供一組基本通用原則語句，可用來達成互通性。

Finally, @Page WS-PolicyAssertions provides a set of basic generic language that can be used to achieve interoperability.

3.3.3 取得描述

XML、XSD、WSDL 和 WS-Policy 支援，描述服務的介面和服務保證。 但是，服務的潛在使用者如何找到這項資訊？

XML, XSD, WSDL and WS-Policy support describe the interfaces and service guarantees. But how can the potential users of the service find this information?

目前最常見的方法是透過電子郵件交換或口語。 需要更一般用途的可調整模型。 有兩個選項，服務可能會直接移至服務，以使用 WS-MetadataExchange 取得資訊，或者可以選擇使用 UDDI 服務來匯總多個目標服務的這項資訊。

The most common way to do this is through e-mails or language. More general-purpose adjustable models are needed. With two options, services may be moved directly to services to access information using WS-MetadataExchange, or the option of using the UDDI service to transfer this information for multiple target services.

開發人員在具有服務的參考時使用WS-MetadataExchange，並需要瞭解其用途。 開發人員想要尋找支援一組特定函式之服務的參考時，會使用 UDDI。

Developers use WS-MetadataExchange for service references and need to understand their use. Developers use UDDI when they want to find references that support a particular set of functions.

3.3.4 WS-MetadataExchange

如上所述，服務通常會提供描述服務本身的資訊，例如 WSDL、WS-Policy 和 XSD。 我們參考服務相關資訊作為中繼資料的收集性。 WS-MetadataExchange規格可讓服務透過 Web 服務介面提供中繼資料給其他人。 假設只有 Web 服務的參考，潛在使用者可以存取一組 WSDL/SOAP 作業，以擷取描述服務的中繼資料。 用戶端可以在設計階段、建置用戶端或在執行時間使用WS-MetadataExchange。

As noted above, services usually provide information that describes the service itself, such as WSDL, WS-Policy, and XSD. We refer to service-related information as the collection of metadata. The WS-MetadataExchange code allows the service to provide metadata to others through the Web service interface. Assuming that only web services are consulted, users can access a set of WSDL/SOAP jobs to access the memory of the description service.

3.3.5 UDDI

通常，收集有關服務集合的中繼資料，以及讓資訊可在可搜尋的表單中提供。 這類中繼資料匯總服務是實用的存放庫，組織可以在其中發佈其提供的服務、描述其服務的介面，以及啟用網域特定的服務分類法。 UDDI) 規格 (通用描述和探索介面會定義中繼資料匯總服務。

Usually, metadata on service pools are collected and information is made available in searchable forms. The metadata repository is a practical repository in which organizations can publish the services they provide, describe the interfaces of their services, and enable the use of domain-specific service subcategories. UDDI) specifications (general description and exploration interface definition of metadata flow services).

解決方案可以在設計階段查詢 UDDI，以尋找與其需求相容的服務。 例如，開發人員可以在其 BPEL4WS 工作流程的定義中使用這些服務。 解決方案也可以在執行時間查詢 UDDI。 在此案例中，呼叫端「知道」所需的介面，並搜尋符合其功能需求的服務，或由已知的合作夥伴提供。

For example, developers can use these services in the definition of their BPEL4WS workflow. Solving solutions can also query UDDI at the time of execution. In this case, the caller "knows" the interface needed to search for services that meet its functional needs, or by known partners.

請注意，可用來使用中繼資料填入 UDDI 服務的機制之一，就是使用 WS-MetadataExchange 從服務取得中繼資料。

Please note that one of the mechanisms available to use metadata to fill in the UDDI service is to use WS-MetadataExchange to get metadata from the service.

Web 服務因為能夠橋接不同的系統而產生太多熱度。 開發人員已使用傳輸、傳訊和描述的基本功能來產生許多功能完整的解決方案。 不過，若要讓開發人員接受建立更強大的整合解決方案，Web 服務必須提供功能，以確保更傳統的中介軟體解決方案所提供的相同 服務保證 層級。 它不足以直接交換訊息。 應用程式和服務位於中介軟體和系統中，可提供寶貴的較高層級功能，例如安全性、可靠性和交易作業。 Web 服務必須提供這些函式之間互通性的機制。

However, if developers are to accept a stronger integrated solution, Web services must provide functionality to ensure that the same level of service is guaranteed by more traditional intermediary solutions . It is not enough to directly exchange information.

此 @Page系列規格對於跨組織 Web 服務至關重要。 這些規格支援驗證和訊息完整性、機密性、信任和隱私權。 它們也支援不同組織之間的安全性同盟。

The rules of the series @Page are essential for inter-organization web services. These regulations support the integrity, confidentiality, trust and privacy of authentication and information. They also support security alliances between different organizations.

3.5.1 WS-Security

WS-Security 是安全 Web 服務的基本建置組塊。 現今，大部分分散式 Web 服務都依賴安全性功能的傳輸層級支援。 範例包括 HTTP/S 和BASIC-Auth驗證。 這些安全性方法可提供安全通訊所需的最低需求。 不過，它們所提供的函式層級明顯小於現有中介軟體和分散式環境所提供的函式層級。

WS-Security is the basic building block for secure web services. Today, most decentralized Web services rely on transport layers for security functions. Examples include HTTP/S and BASIC-Auth tests.

兩個範例強調BASIC-Auth和 HTTP/S 的缺點。

Two examples highlight the shortcomings of BASIC-Auth and HTTP/S.

• 會將訊息傳送至服務 B。B 會部分處理訊息並將其轉送至服務 C。HTTP/S 允許驗證、A-B 與 B-C 之間的機密性和完整性。 不過，C 和 A 無法彼此驗證，或隱藏 B 的資訊。
• 針對 A、B 和 C，使用BASIC-Auth進行驗證。 他們必須共用相同的複寫使用者和密碼資訊。 在許多情況下，這是無法接受的。

WS-Security解決這些問題。 它支援：

WS-Security solves these problems.

• 已簽署、加密的安全性權杖。 可以產生權杖，C 可以驗證為來自 A。B 無法偽造權杖。
• 可以簽署選取的專案或整個訊息。 這可讓 B 和 C 確認訊息自 A 傳送後尚未變更。
• 可以密封訊息或選取的專案。 這可確保只有那些元素的預定服務可以使用資訊。 這可防止 B 查看適用于 C 的資訊，反之亦然。

WS-Security使用 Kerberos、X509 等) 的現有安全性 (模型。 規格具體定義如何以可互通的方式使用現有的模型。 若沒有 WS-Security，多方 Web 服務計算就無法安全。

WS-Security uses Kerberos, X509, etc.) for existing security (models. Regulations define how to use existing models in an interoperable manner. Without WS-Security, multiple Web services cannot be considered safe.

3.5.2 WS-Trust

安全性依賴預先定義的信任關係。 Kerberos 的運作方式是因為參與者「信任」Kerberos 金鑰發佈中心。 PKI 的運作方式是因為參與者信任根憑證授權單位。 WS-Trust 會定義可延伸的模型，以設定和驗證信任關係。

Security depends on predefined trust relationships. Kerberos operates because the participants "trust" Kerberos key distribution centre. PKI operates because the participants trust the root certificate licensing unit. WS-Trust defines extended models to configure and validate trust relationships.

WS-Trust的主要概念是 安全性權杖服務 (STS) 。 STS 是一種區分的 Web 服務，會發出、交換及驗證安全性權杖。 WS-Trust可讓 Web 服務設定及同意其「信任」的安全性伺服器，以及依賴這些伺服器。

The main concept of WS-Trust is Safety Wand Services (STS). STS is a differentiated web service that issues, swaps, and verifies safety staff. WS-Trust allows Web Services to configure and agree to their "trust" safety servers, and relies on them.

STS 具有廣泛的適用性，可用來發出各種判斷提示的安全性權杖。 在許多情況下，它會用來發出相同的判斷提示，但格式不同。 例如，STS 可能會發出 Kerberos 權杖判斷提示金鑰持有者為 Susan，而且可能會根據受信任的憑證授權單位單位所簽發的 X.509 憑證來執行此動作。 這可讓組織使用不同的安全性技術來同盟。 STS 也可能發出安全性權杖判斷提示，指出金鑰持有者是以判斷提示身分識別宣告的傳入安全性權杖為基礎的群組 BankTellers 成員。

STS may issue, for example, the Kerberos doctrine key holder is Susan, and may execute this action on the basis of an X.509 certificate signed by a trusted certifier. This allows the organization to use different security techniques to form alliances. STS may also issue a security scepter, pointing out that the key holder is a group of BankTellers who transmits a safety scepter as the basis for an identity specifier declaration.

3.5.3 WS-SecureConversation

某些 Web 服務案例只牽涉到少數訊息的短暫交換。 WS-Security可立即支援此模型。 其他案例牽涉到 Web 服務之間的長時間、多訊息交談。 WS-Security也支援此模型，但解決方案不是最佳的。

Some web-service cases involve only a short temporary exchange of few messages. WS-Security can immediately support the model. Other cases involve lengthy, multi-message conversations between web-services.

在下列案例中，有兩個WS-Security的次佳用法：

In two of the following cases, there were suboptimal uses of WS-Secure:

• 重複使用計算成本高昂的密碼編譯作業，例如公開金鑰驗證。
• 使用相同的密碼編譯金鑰傳送和接收許多訊息，提供詳細資訊，允許暴力密碼破解攻擊「中斷程式碼」。

基於這些原因，HTTP/S 等通訊協定會使用公開金鑰來執行定義 交談特定金鑰 的簡單交涉。此金鑰交換允許更有效率的安全性實作，也會減少使用一組特定金鑰加密的資訊量。

For these reasons, communication protocols such as HTTP/S will use a public key to execute a simple transaction defined as to negotiate a particular key . This key exchange allows for more efficient safety practices and reduces the amount of information that is encrypted with a set of specific keys.

WS-SecureConversation 為 WS-Security 提供類似的支援。 參與者通常會使用WS-Security搭配公開金鑰來啟動「交談」或「會話」，並使用WS-SecureConversation同意會話特定金鑰來簽署和加密資訊。

WS-SecurityConversion provides similar support for WS-Security. Participants usually use WS-Security to mix public access keys to initiate "interview" or "meeting" and use WS-Security to agree to sign and encrypt information about specific key messages.

3.5.4 WS-Federation

WS-Federation 可讓一組組織建立單一虛擬安全性網域。 例如，旅遊代理人、航空公司和旅館鏈結可能會設定這類同盟。 「登入」任何同盟成員的使用者，已有效地登入所有成員。 WS-Federation定義數個模型，以透過WS-Trust與WS-SecureConversation拓撲之間的通訊協定來提供同盟安全性。

WS-Federation allows a group of organizations to create a single virtual security domain. For example, travel agents, airlines, and hotel links may configure such alliances.

此外，客戶在處理企業時通常會有「屬性」。 例如，視窗或雜訊基座的喜好設定，或中型汽車。 WS-Federation可讓成員設定同盟屬性空間。 這可讓每個參與者能夠安全地存取每位成員有關使用者的屬性資訊。

In addition, clients usually have ‘property’ when dealing with businesses. For example, windows or nose bases are preferred, or medium-sized vehicles.

個人的相關屬性和資訊可能會密切保存，以進行隱私權保護，或因為該資訊為特定成員提供競爭優勢。 為了支援這些需求，WS-Federation支援 假名模型。 已向旅遊機構驗證的使用者在與航空公司或旅館的互動中產生「別名」。 這可保護終端使用者的隱私權，以及旅遊機構可能透過瞭解使用者屬性而獲得的競爭優勢。

Personal affiliations and information may be kept closely to protect privacy rights, or because the information offers competitive advantages to particular members. To support these demands, WS-Food supports the pseudonym model.

1. 強制執行 安全性 (WS-Security) 的 驗證
2. 不同組織之間的信任同盟 (WS-Trust 和 WS-Federation)
3. 交換資料以完成交易 (WS-AtomicTransaction)
4. 保證訂單已透過可靠的傳訊提交， (WS-ReliableMessaging)

此範例從名為 Auto 轉銷商的公司員工 Heather 開始，登入她的轉銷商安全內部網路網站。 此網站是使用標準、現成的 Web 技術所建置。 Heather 會使用她的瀏覽器進入網站。 網站的存取權受到密碼保護。

This example begins with Heather, a company worker named Auto Distributor, who logs into her distributor’s internal safety web site, which is built using a standard, existing Web technology. Heather uses her browser to access the site. Access to the site is protected by passwords.