Web Services und Standards: Der Hype ist Realität geworden

ZDNet: Das große Thema der OOP in München ist in diesem Jahr das selbe wie 2003: Web Services und die zugehörigen Standards.

Chanliau: Ja, aber es hat sich viel getan in Sachen Web Services. Der Hype ist Realität geworden und Sie finden nun eine Unmenge an Web Services-Projekten im Entstehen. Dazu steuern wir eine ganze Reihe von Standards bei, gerade im Bereich der Sicherheit, Synchronisation und Sessioning. Wir haben nicht viel im Angebot, das aber arbeitet sehr zuverlässig.

ZDNet: Im vergangenen Jahr war gerade WS-Security heiß umkämpft – Sun zierte sich noch, den Vorschlägen von IBM und Microsoft zu folgen. Mit welchem Szenario haben wir es 2004 zu tun?

Chanliau: WS-Security steht mittlerweile unter der Schirmherrschaft von OASIS und ist damit dem direkten Einfluss von Microsoft und IBM entzogen. Ich selbst bin ja Mitglied von OASIS – und finde das eine gute Sache. Es wurde gemacht, weil WS-Security für Security-Tokens zuständig ist, so war es auch im Interesse von Microsoft und IBM, es öffentlich zu machen – ganz anders übrigens als bei WS-Federation, dass sie unter Verschluss halten und als proprietäre Technik weiterpflegen. Sie bauen Plattformen auf Basis dieser Spezifikationen und bieten die zum Kauf an. Das macht einige Leute wirklich wütend, denn es ist als ob sie ein Haus bauen und erst nachträglich den Bauplan dafür zeichnen würden.

Bei WS-Security verhält es sich aber wie gesagt anders – es geht um das Hosting von Security Tokens. Dabei müssen wir zwei Dinge unterscheiden: Einerseits die Objekte, die wir Security Tokens nennen und aus einem Cerberos-Ticket, einer SAML-Assertion, einem x509-Zertifikat, einem Dial Password Digest oder etwas ähnlichem bestehen können. Diese Tokens sind statisch, ganz ähnlich wie objekt-orientierte Klassen. Sie beschreiben den Security-Kontext und liefern alle nötigen Sessioning-Informationen. Daneben haben Sie das Protokoll, und genau darum geht der Kampf. Das Protokoll legt fest, wie Sie nach einem Security Token fragen und es versenden.

WS-Security wird allseits akzeptiert, weil es den Einsatz jedes vorstellbaren Tokens erlaubt. Tokens wiederum sind in Profiles definiert, und Sie können jederzeit ein neues Profil anlegen. Das vereinfacht vieles und wird allseits eingesetzt. Darum wurde WS-Security öffentlich gemacht.

Auf der anderen Seite haben wir WS-Federation, also die Sammlung aller WS-*-Spezifikationen, die von IBM und Microsoft unter Verschluss gehalten werden. Da kann niemand außer den beiden Konzernen mitbestimmen. Das ist kein Standard sondern eine proprietäre Technik.