About Teletype
Join
Даниил Николаев | Ментор (A)QA ✅️
@aqa_pro
March 13

SOAP (Simple Object Access Protocol) VS REST (Representational State Transfer)

🔒 1. Встроенная безопасность через WS-Security

SOAP изначально разработан для работы в корпоративной среде, где безопасность критически важна. Он поддерживает WS-Security, стандарт, который добавляет к сообщениям:

  • Шифрование 🔐 – данные можно зашифровать так, что их сможет прочитать только получатель.
  • Подписи ✍️ – сообщения можно подписывать цифровыми подписями, чтобы убедиться, что они не были изменены в процессе передачи.
  • Аутентификацию 🔑 – можно требовать, чтобы отправитель доказывал свою личность с помощью токенов, сертификатов и других методов.

💡 Пример: В банковских системах SOAP используется для передачи платежных данных, потому что он может обеспечить их защиту от взлома и подмены.

🏢 2. Поддержка сложных схем авторизации

SOAP поддерживает такие мощные механизмы аутентификации, как:

  • SAML (Security Assertion Markup Language) – используется в корпоративных системах для единого входа (SSO).
  • OAuth + WS-Security – можно комбинировать оба метода для усиленной защиты.
  • X.509 сертификаты – можно использовать цифровые сертификаты для безопасного обмена данными.

💡 Пример: SOAP идеально подходит для работы с государственными порталами и крупными корпорациями, где требуется высокая степень безопасности.

📜 3. Чёткая спецификация и строгая структура

SOAP использует XML, и у него есть строгая схема, которая предотвращает ошибки в данных.
REST же может работать с разными форматами (JSON, XML, YAML), и поэтому у него нет встроенных механизмов проверки, как у SOAP.

💡 Пример: Если REST API отправит некорректный JSON (например, забудет кавычки), сервер может неправильно его обработать. В SOAP такого не будет – все данные проверяются на соответствие схеме.

🔄 4. Сообщения передаются через POST, что сложнее для атак

SOAP всегда использует метод POST, а это означает, что данные передаются в теле запроса, а не в URL.
В REST часто используют GET, и параметры передаются в адресной строке, что делает их уязвимыми для атак (например, их можно подглядеть в логах).

💡 Пример: В SOAP банковский перевод будет отправляться через POST, и никто не сможет увидеть параметры в URL. В REST, если бы использовался GET, данные могли бы попасть в логи сервера и стать уязвимыми.

🛡️ 5. SOAP поддерживает MTOM – безопасную передачу бинарных данных

Если нужно передавать файлы, SOAP делает это через MTOM (Message Transmission Optimization Mechanism), который автоматически шифрует и защищает файлы. В REST приходится либо использовать Base64 (что увеличивает размер файлов), либо настраивать дополнительные уровни безопасности.

💡 Пример: Если нужно передавать скан паспорта, SOAP зашифрует его встроенными средствами, а в REST это нужно делать вручную.

🏆 Итог: Когда использовать SOAP вместо REST?

Когда нужна высокая безопасность – банки, государственные системы, корпоративные API.
Когда важна строгая структура данных – SOAP использует XML-схемы, которые предотвращают ошибки.
Когда передаются конфиденциальные файлы – SOAP умеет их безопасно передавать.

📌 Но! REST проще и быстрее для большинства задач, особенно в веб-разработке. Если безопасность не критична, REST будет удобнее.

🔒 Реальные примеры использования SOAP vs REST в безопасности

1️⃣ Банковские переводы и платежные системы 🏦💰

Почему SOAP?

  • Банки используют SOAP для перевода денег, потому что он поддерживает WS-Security и шифрование данных.
  • SOAP гарантирует, что данные не изменятся при передаче.
  • Работает с SAML, который позволяет безопасно аутентифицировать пользователей.

📌 Пример:
Допустим, ты отправляешь деньги через интернет-банк.
Система отправляет SOAP-запрос с твоими данными:

<soapenv:Envelope>
  <soapenv:Header>
    <wsse:Security>
      <wsse:UsernameToken>
        <wsse:Username>user123</wsse:Username>
        <wsse:Password>securepassword</wsse:Password>
      </wsse:UsernameToken>
    </wsse:Security>
  </soapenv:Header>
  <soapenv:Body>
    <TransferFunds>
      <FromAccount>12345678</FromAccount>
      <ToAccount>87654321</ToAccount>
      <Amount>1000</Amount>
    </TransferFunds>
  </soapenv:Body>
</soapenv:Envelope>

🔹 Тут пароль зашифрован и передаётся в заголовке, что делает атаку сложнее.
🔹 В REST тот же запрос мог бы передаваться через GET (что небезопасно) или POST, но без встроенной защиты данных.

2️⃣ Государственные сервисы и налоги 🏛️📄

Почему SOAP?

  • В налоговых системах SOAP используется из-за строгого контроля передачи данных.
  • Налоговые декларации шифруются, аутентифицируются с помощью цифровых сертификатов (X.509).

📌 Пример:
Когда компания подаёт налоговую декларацию, данные должны быть подписаны и зашифрованы, чтобы никто их не изменил. SOAP позволяет это сделать автоматически.

🔹 REST API не имеет встроенной поддержки цифровых подписей, и разработчикам пришлось бы добавлять это вручную.

3️⃣ Безопасность в медицине 🏥🔬

Почему SOAP?

  • В медицинских сервисах, таких как HL7 (стандарт передачи медицинских данных), SOAP используется для передачи конфиденциальной информации.
  • Данные зашифрованы и подписаны, чтобы не было подмены.

📌 Пример:
Больница отправляет SOAP-запрос с медицинскими данными пациента в страховую компанию:

<soapenv:Envelope>
  <soapenv:Header>
    <wsse:Security>
      <wsse:BinarySecurityToken ValueType="X.509">
        MIIBIjANBgkqh...
      </wsse:BinarySecurityToken>
    </wsse:Security>
  </soapenv:Header>
  <soapenv:Body>
    <PatientRecord>
      <ID>98765</ID>
      <Name>John Doe</Name>
      <Diagnosis>COVID-19</Diagnosis>
    </PatientRecord>
  </soapenv:Body>
</soapenv:Envelope>

🔹 Здесь данные подписаны цифровым сертификатом, и их нельзя подделать.
🔹 REST API не может гарантировать защиту из коробки, поэтому его почти не используют в медицине.

4️⃣ Передача файлов и защищённые документы 📁🔐

Почему SOAP?

  • SOAP поддерживает MTOM (Message Transmission Optimization Mechanism), который позволяет передавать зашифрованные файлы.
  • REST приходится кодировать файлы в Base64, что увеличивает их размер и снижает безопасность.

📌 Пример:
Компания отправляет скан паспорта в банк для верификации личности.
SOAP передаёт его зашифрованным файлом:

<soapenv:Envelope>
  <soapenv:Body>
    <UploadDocument>
      <File>binary_data</File>
    </UploadDocument>
  </soapenv:Body>
</soapenv:Envelope>

🔹 REST пришлось бы делать это через обычный POST, что не так безопасно.

5️⃣ Корпоративные системы (Microsoft, IBM, Oracle) 🏢💼

Почему SOAP?

  • Крупные компании используют SOAP для внутренних API, где важна строгая безопасность и контроль.
  • Например, в Microsoft Active Directory аутентификация пользователей происходит через SOAP-запросы.

📌 Пример:
Когда сотрудник входит в корпоративную систему, его логин передаётся с цифровой подписью, а не обычным паролем, как в REST.

🔹 REST чаще используют для открытых API, например, в мобильных приложениях или веб-сервисах.

Вывод: Где использовать SOAP, а где REST?

🚀 Когда REST лучше?

REST лучше, если:
✔ Нужно простое и быстрое API (например, для мобильного приложения 📱).
✔ Безопасность не критична (например, блог, новости 📰).
✔ Нужно работать с браузерами (REST API легко интегрируются в фронтенд).

🔒 Когда использовать SOAP?

SOAP лучше, если:
✔ Требуется высокий уровень безопасности 🔐.
✔ Нужно передавать конфиденциальные данные (банки, медицина, госуслуги).
✔ Важна строгая структура данных и их неизменность.

🔥 Итог: SOAP – это как броневик для данных, а REST – как легковая машина 🚗. Если нужно максимальная защита, выбирай SOAP. Если важна скорость и удобство, лучше REST.

March 13, 08:45
0 views
0 reactions
0 reposts