Paypal 和 REST Web 服务答案

【问题标题】：Paypal and REST web servicePaypal 和 REST Web 服务
【发布时间】：2015-03-16 04:18:27
【问题描述】：

从我阅读的所有关于 REST 与 JAX-WS 的资源中，建议在需要更高级别的安全性时使用 JAX-WS。

如果是这样，我很好奇 PayPal 为什么使用 REST Web 服务。汇款是一项需要高度安全性的交易。有人可以对此发表意见吗？

编辑：如果仍然使用 SSL，那么 JAX-WS 对 REST 有什么样的“安全契约”？

【问题讨论】：

因为他们是通过 SSL 做的？
那么还不如把所有东西都放在 REST 中？
这是一个错误的陈述。 REST 和 SOAP over HTTP 在应用 HTTPS 时具有相同的安全级别。 SOAP 只是允许您清楚地定义某些标准，例如从 OASIS 到 WSDL 的 Web 服务安全性。 REST 服务还没有这种能力……我说是因为 REST 有一个 WSDL 工件，它是一个 WADL，但是 WADL 文件并不常用。
那么我们是否可以说安全性不是选择 JAX-WS 而不是 REST 的原因？选择 JAX-WS 可能更多的是关于它的其他特性，例如异步、有状态、有限带宽等？

【解决方案1】：

这本身并不是真正的 JAX-WS 与 REST 讨论。这是 SOAP 与 REST 的讨论。 JAX-WS 只是用于编写 Java (SOAP) Web 服务提供者或客户端/消费者应用程序的现代 JavaEE 框架。

各种 OASIS SOAP 标准，如 @Namphibian 所指的 WS-Security，包含以下方面的开放规范：

所有这些有时实现起来都极其复杂（高于已经很复杂的基础 SOAP 规范）。但是，它们提供了某种程度的安全性，据我所知，这在 RESTful 服务中没有直接对应物。严格来说，这是从可用的开放标准的角度来看。

REST 被普遍接受，因为它更易于集成/使用，如果您愿意将所有安全性都放在传输级别 (HTTPS) 机密性上，那么您就可以开始了。

SOAP 消息级安全性旨在提供保护，即使传输级安全性被破坏或根本没有使用。

【讨论】：