对于高安全性应用程序，我应该使用哪个 Web 服务引擎/框架？

Question

我在一家为银行应用程序开发高度安全的 Web 服务的公司工作。将创建和使用 Web 服务，以便与银行已在使用的应用程序建立通信。 Web 服务将部署在 JBoss 服务器上。 哪些 Web 服务框架/引擎最适合高安全性应用程序？我做了一些研究并入围了一些。它们如下。

• Apache Axis2
• Apache CXF
• JAX-WS

我什至读过 JBoss 服务器有一些内置的 Web 服务引擎，但还没有收集到太多关于这方面的信息。我还读到 Apache Axis2 使用 Apache Rampart 实现安全功能。 Apache Rampart 的效果如何？是否适合上述应用？除了 Rampart for Axis2，还有其他安全实现吗？

我应该选择哪个框架/引擎？除了上面提到的之外，还有没有什么好的可靠的框架，有强大的社区支持？

Answer 1

最新版本的 JBoss 使用 CXF 作为底层 Web 服务引擎（尽管它们也有自己的实现并维护）。

对于安全情况，三者中最好的选择绝对是 Apache CXF。 CXF 开发人员（特别是 Colm 和 Oli）是推动安全领域大部分增强功能的人。 Rampart 的最后一个发布版本使用的是相当旧的 WSS4J 版本，它不包含 CXF 用户喜欢的许多新功能和增强功能。

Colm 的博客是一个很好的参考资源：http://coheigea.blogspot.com/

您可以看到他为确保 CXF 拥有最好的 WS-Security 实现、非常好的 STS 等付出了多少努力...... Oli 的博客 (http://owulff.blogspot.com/) 已经开始记录对 Tomcat 的扩展等支持 WS-Federation 和 SSO，同样基于为 CXF 所做的工作。