關於web服務的安全問題

之前討論過這個問題：
為什麼很多第三方介面，都改成了基於http，直接傳遞json資料的方式來代替webservice?
各位同學基本認同基於http協議的json資料格式來做web服務。現在想問一下，對於安全性要求應該怎麼做。
我現在要設計的一套東西，安全要求有兩點。
1.傳輸方面 要求使用TLS對會話過程加密
2.傳遞的資料本身 要使用ws-security規範要求加密

傳輸方面，我明白。但是在自身資料使用ws-security規範方面，有沒有有經驗的兄弟給解釋一下。如果是我們使用http的json格式，怎麼設計，能在安全方面能通過ws-security規範要求？因為我看這個規範主要是對著基本soap的webservice設計的。

回複內容：

之前討論過這個問題：
為什麼很多第三方介面，都改成了基於http，直接傳遞json資料的方式來代替webservice?
各位同學基本認同基於http協議的json資料格式來做web服務。現在想問一下，對於安全性要求應該怎麼做。
我現在要設計的一套東西，安全要求有兩點。
1.傳輸方面 要求使用TLS對會話過程加密
2.傳遞的資料本身 要使用ws-security規範要求加密

傳輸方面，我明白。但是在自身資料使用ws-security規範方面，有沒有有經驗的兄弟給解釋一下。如果是我們使用http的json格式，怎麼設計，能在安全方面能通過ws-security規範要求？因為我看這個規範主要是對著基本soap的webservice設計的。

後面那個加密應該是之前應對HTTP舊情境下的加密措施，現在HTTPs已經是超強加密了，不需要在資料層面再加一次密了。

ws-security,我幫你搜了一下，這個東西是在SOAP資料包結構之上的資料，確保資料合法性的做法無非就是使用簽名，但是簽個名而已有必要使用這種臃腫的標準嗎？看看現在流行的做法一般是通過在每個調用端分配一個私密金鑰，請求的時候把請求的所有參數用私密金鑰做一段摘要，和請求參數一起發給伺服器，然後伺服器拿這個私密金鑰重新做一遍摘要來驗證要求者的身份。

