我正在构建一个交互式 javascript 应用程序,它需要向第 3 方服务器发出一些 SOAP 请求。问题是服务器只接受基本的 WS-Security 身份验证,即明文用户名和密码。最简单的解决方案是将用户名和密码硬编码到 Javascript 中,然后进行 ajax 调用,但显然从安全 Angular 来看这很糟糕(有人可以轻松查看页面源代码)
我能想到的克服这个问题的唯一方法是拥有第二台服务器,其中存储 SOAP 用户名和密码,比如在 PHP 文件中。然后 Javascript 应用程序可以对服务器进行 ajax 调用,然后服务器运行逻辑并向 SOAP 服务器进行身份验证。有人仍然可以在我的页面之外对服务器进行 ajax 调用,但至少他们无法获取用户名和密码
我认为必须有更好的解决方案,但我想不出其他任何东西,有人有任何其他想法吗?谢谢
最佳答案
我认为最好的解决方案是在服务器端做逻辑,如果可以的话,尽量使用ssl。然后,如果您正在提供 HTML/Javascript 代码,则对在同一服务器中执行逻辑的文件进行 ajax 调用。
关于javascript - 如何最好地保护对 soap 服务的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8950679/