10、异步调用框架与Web服务安全代理的设计与实现

异步调用框架与Web服务安全代理的设计与实现

1. 异步调用框架概述

异步调用框架为Web服务提供了一种无需使用异步消息传递协议的异步调用实用方法。该框架运用了分布式对象框架的一组模式进行设计，其功能和性能测量表明已达成预期目标，具体如下：
- 客户端能够更快地恢复工作，在一定程度上避免了Web服务的性能损失。
- 框架提供的调用API非常简单，并且可以通过自定义处理程序灵活扩展。
- 由于框架基于Axis构建，因此可以自动利用其在传输协议和Web服务后端（即“服务提供商”）方面的异构性。
- 若客户端是反应式服务器应用程序，远程调用不会阻塞它。

不过，该异步框架也存在一些缺点。基于同步调用框架的异步框架总会在客户端应用程序的整体性能方面产生一定开销，并且不支持消息传递协议的其他功能。但由于消息传递协议可在内部使用，所以这并非严重缺陷。此外，该框架目前在调用层未引入任何安全功能，只能使用较低层（如传输协议层）实现的安全功能。

2. Web服务安全需求

Web服务允许不同系统进行协作，无论其操作系统或所使用的编程语言如何，还能实现遗留系统的集成，并允许外部合作伙伴访问这些系统。然而，引入Web服务访问可能关键的业务系统时，也可能使互联网上的其他用户有机会访问这些遗留系统。

大多数情况下，Web服务部署基于HTTP协议，而大多数防火墙通常不会检查或过滤此类内容，这显著降低了防火墙的效率。同时，Web服务的轻量级基于XML的协议SOAP本身不具备任何安全功能。不过，这并不意味着基于SOAP的Web服务存在普遍的安全漏洞，因为根据SOAP的基本理念，应用程序需要自行处理安全问题。

利用