做项目时,经常会用到webservice来通讯,但webservice发布后为了能调用,一般都通过发布到IIS后调用 的。在IIS里可以通过匿名访问,但这样大家都可能访问,不安全,因此可以提供操作系统分配一个帐号来登录到IIS 。这只是对访问服务器上的文件进行了限制,以前我也是采用这种方式,上次看到另 一种方法来防止 别人调用webservice,就是对方面进行加密,总结下来,对于webservice可以采用以下二个方法来有效防止别人调用:
第一、禁止匿名访问,对webservice进行认证,这步主要是通过操作系统的安全机制来实现的,也就是只有满足一定要求的帐号才能访问到服务器,才能访问IIS,这个可以通过访问我以前的随笔C#调用Web Service时的身份验证 ,在这里有详细的说明,在些不我说了;
第二、在第一种方法的基础上对webservice里的方法进行加密,这里面方法很多,下面提供一种比较常用的方法。在调用方法时多提供二个参数用户加密解密用(当然了提供几个参数看自己的需要而定)。比如有个webservice方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);如果只提供一个参数,则很容易被别人访问调用ÿ