web + cxf soap. Ogólnie nie mam dużego doświadczenia w temacie ws soap i security

  1. Widzę że polecane podejście to wsdl first ale mam tak dużo typów że nie bardzo to widzę. Używam paru annotacji i wsdl jest generowany dynamicznie, czy to duże fo pa ?

  2. Czasami polecane jest też użycie wzorca Request/Response ale specyfikacja wygląda jak takie typowe rpc. Kiedy warto/nie warto stosować ten wzorzec ?

  3. Używam podpisanych wiadomości kluczami z keystora. Czy jako metoda autentykacji klienta jest to zgodne z rynkowymi standartami, najlepszymi praktykami itd ?
    Docelowo będę ceryfikaty z verisign.

  4. Nie mogę mieć plików na serwerze, przechowuję cały keystore w db. Czy jest jakieś lepsze rozwiązanie ? Stawianie ldapa przypuszczam że nie wchodzi w grę