Web服务身份验证 - 最佳实践？

我们生产中的SOAP Web服务依赖于SOAP Headers(包含普通客户端凭据)进行身份验证.WS用于具有.NET/Java/PHP/Python/C++客户端的异构环境,包括Web应用程序或桌面应用程序.

我们正在考虑使用这些WS的v2,我想知道什么被认为是WS SOAP身份验证的最佳实践？(相当安全,但易于在各种平台上处理).

在各种平台上处理它的最简单方法是使用HTTP基本身份验证和HTTPS作为传输层.如果您的需求超出简单的用户名/密码,WS-Security会很好,但平台之间的支持会有很大差异.每个体面的SOAP实现都支持HTTP身份验证.