用SOAP处理WEBSERVICE的安全性

最新推荐文章于 2020-12-19 04:16:10 发布
最新推荐文章于 2020-12-19 04:16:10 发布
阅读量1.1k 收藏
点赞数
分类专栏: .NET技术 文章标签: webservice soap string web服务 加密 system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/simonllf/article/details/1639722
版权

最近在项目中遇到WEBSERVICE的安全性问题,本来,按以前的经验(WIINFORM中),可以在服务器端建一个用户表,进行身份验证,但后来发现,这存在安全性问题,所以查找后发现可以利用定义SOAP头进行用户信息绑定进行身份验证,下面就是相关代码,验证通过.

这里是SOAP头定义:
using System;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;

public class MyHeader :  System.Web.Services.Protocols.SoapHeader
     {
         private string _UserID=string.Empty;
         private string _PassWord=string.Empty;
         /// <summary>
         /// 构造函数
         /// </summary>
         public MyHeader()
         {
         }
         /// <summary>
         /// 构造函数
         /// </summary>
         /// <param name="nUserID">用户ID</param>
         /// <param name="nPassWord">加密后的密码</param>
         public MyHeader(string nUserID,string nPassWord)
         {
              Initial(nUserID,nPassWord);
         }
        
         #region 属性
         /// <summary>
         /// 用户名
         /// </summary>
         public string UserID
         {
              get{return _UserID;}
              set{_UserID=value;}
         }
         /// <summary>
         /// 加密后的密码
         /// </summary>
         public string PassWord
         {
              get{return _PassWord;}
              set{_PassWord=value;}
         }
       #endregion
         #region 方法
       /// <summary>
         /// 初始化
         /// </summary>
         /// <param name="nUserID">用户ID</param>
         /// <param name="nPassWord">加密后的密码</param>
         public void Initial(string nUserID,string nPassWord)
         {
              UserID=nUserID;
              PassWord=nPassWord;
         }
         /// <summary>
         /// 用户名密码是否正确
         /// </summary>
         /// <param name="nUserID">用户ID</param>
         /// <param name="nPassWord">加密后的密码</param>
         /// <param name="nMsg">返回的错误信息</param>
         /// <returns>用户名密码是否正确</returns>
         public bool IsValid(string nUserID,string nPassWord,out string nMsg)
         {
              nMsg="";
              try
              {
                   //判断用户名密码是否正确
                   if(nUserID == "admin" && nPassWord == "admin"){
                       return true;
                   }
                   else
                   {
                       nMsg="对不起,你无权调用此Web服务,可能有如下原因:/n 1.您的帐号被管理员禁用。/n 2.您的帐号密码不正确";
                       return false;
                   }
              }
              catch
              {
                   nMsg="对不起,你无权调用此Web服务,可能有如下原因:/n 1.您的帐号被管理员禁用。/n 2.您的帐号密码不正确";
                   return false;
              }
         }
         /// <summary>
         /// 用户名密码是否正确
         /// </summary>
         /// <returns>用户名密码是否正确</returns>
         public bool IsValid(out string nMsg)
         {
              return IsValid(_UserID,_PassWord,out nMsg);
         }
         #endregion
}

服务器部分:
using System;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;

 

[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class myService : System.Web.Services.WebService
{
    /// <summary>
    /// Soap头实例
    /// </summary>
    public MyHeader myHeader = new MyHeader();
      
    public myService()
    {

    }
    // WEB 服务示例
    // HelloWorld() 示例服务返回字符串 Hello World
    // 若要生成,请取消注释下列行,然后保存并生成项目
    // 若要测试此 Web 服务,请按 F5 键
    [WebMethod]
    public string HelloWorld()
    {
        return "Hello World";
    }
    [SoapHeader("myHeader", Direction = SoapHeaderDirection.InOut)]
    [WebMethod(Description = "ddddddd", EnableSession = true)]
    public string HelloWorld2(string contents)
    {
        string msg = "";
        //验证是否有权访问
        if (!myHeader.IsValid(out  msg))
            return msg;
        return "Hello World:" + contents;
    }


   
}


其实原理就是定义一个SOAP头后,在客户端调用该头并注入身份信息,这样在网络上即使给截获了.也取不到身份信息.


小东西做完以后就想到了发布,感觉用VS2005的CLICKONCE方便好用,这里就不说了...随便查查就N多 

simonllf
关注
专栏目录
webservice 安全性 对外_WebService安全性的几种实现方法【身份识别】
weixin_40008033的博客
12-19 374
相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了.首先我们来介绍webservice下的两种验证方式,一.通过集成windows身份验证通过集成windows方式解决webservice的安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然因为与win...
C# Soap调用WebService的实例
08-28
C# Soap调用WebService的实例 ...3. 在调用WebService时,需要考虑安全性问题,例如身份验证、加密等。 4. 使用C#语言调用WebService时,可以使用不同的库和框架,例如System.Web.Services、WCF等。
Webservice 安全性访问
manjianghong86的专栏
04-01 495
1.访问安全性     WebService对于我们来说并不陌生,在很多地方我们都会使用到它,它为我们带来了很多方便,同时解决了多平台之间的通讯协议问题等等,因为WebService是以一种Http请求和Xml响应的方式来达成多平台之间的接入。这种方式我们一般称之为‘接口’。这里需要说明的是:所谓平台是指开发平台(例如ASP.NET和Java等开发平台)和站点平台(例如淘宝网站和支付宝网站)
WebService安全性讨论【身份识别】
weixin_34344403的博客
03-23 286
相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了. 首先我们来介绍webservice下的两种验证方式, 一.通过集成windows身份验证 通过集成windows方式解决webservice的安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然...
Web Service 安全性解决方案(SOAP篇)
weixin_30652897的博客
07-31 280
拼吾爱程序人生»软件编程»Visual Studio.NET»Web Service»Web Service 安全性解决方案(SOAP篇)Web Service 安全性解决方案(SOAP篇)[9335浏览 ][手机版]返回列表发布日期: 2007-12-30 发布:cobra文编程图书Programming Books文/flyingfox 出处/博客园闲着没事,研...
SOAP安全性扩展:数字签名
蜗牛档案室
12-03 1617
   SOAP安全性扩展:数字签名(SOAP-DSIG)定义了用数字方式签名SOAP消息及确认签名的句法和处理规则。本文讨论了SOAP-DSIG和SSL有着怎样的关系,并描述了这两项技术是如何互补的。 数字签名使初始用户和软件能够可靠地发送信息。可惜的是,简单对象访问协议(Simple Object Access Protocol,SOAP)1.1并不包括签名消息的规定,因此也无此安全
Soap WebService 调试工具
04-07
9. **安全性测试**:通过集成OWASP ZAP等工具,SOAPUI可以进行安全扫描,检测Web服务可能存在的安全漏洞。 在使用SoapUI时,首先要安装并启动程序,然后导入WSDL文件,工具会自动生成服务的接口和操作。接着,可以...
PB9-soap-WEBSERVICE例子.rar
03-31
理解PB9的API和SDK如何与SOAP集成,以及如何处理Web服务的异步调用、错误处理安全性问题是成功实现此功能的关键。 压缩包内的文件名称没有具体列出,但通常会包含以下内容: - 源代码文件:展示如何在PB9创建和...
java+soap+webservice 调用模拟
01-31
9. **安全性考虑**:SOAP Web服务可能面临各种安全威胁,如XML注入、XXE(XML外部实体攻击)等。确保使用安全的最佳实践,如启用HTTPS、使用WS-Security标准等。 通过阅读提供的"java-soap-webservice"文档,你可以...
C#WebService-Soap扩展实现安全认证
11-24
分高但绝对值-简介: 1、利用SoapExtension,SoapExtensionAttribute,实现Soap自定义Attribute(标签)扩展类。 2、利用SoapHeader应用Soap扩展。 3、在写WebService时只需加认证标签,客户端调用时传入SoapHeader,即可完成认证。 4、当然你还可以发挥,比如压缩消息,日志记录,Trace之类,网上也有很多文章讲。
转帖:Web Service 安全性解决方案(SOAP篇)
weixin_30687051的博客
06-06 126
文/flyingfox 出处/博客园闲着没事,研究了一下Web Service的安全性解决方法. 通过SOAP的头信息,通过使用帐号与PIN实现访问Web Method的安全校验.这是一个简便的好方法. 解决方法:配置SOAP头信息,并将Token的ID和PIN写入头信息作为访问Web服务的钥匙。 步骤如下:1) 建立类Credentials,用来作为Token的验证。继承于Sy...
[学习日记]对SOAP头内添加信息的验证,可实现对请求WEB服务进行身份验证。
03-05 110
首先,当然是发送的SOAP头里添加信息的方法了,前面有过记录,这里就不再写了可参见[学习日记]对SOAP请求的头添加内容的方法那么这次向头内添加的信息为: dimproxyasGetHttpHeadersProxy=newGetHttpHeadersProxyproxy.AddHttpHeader("name","aowind")proxy.AddHttpHeader("...
Web Service Security --- Introduction
赛跑的专栏
03-22 1169
Web service目前被SOA所广泛采用。从目前Web Service的应用来看,Web Service技术确实具有某些显著的优点,已成为当前分布式技术的重要代表。 Web Service的一个显著特点就是Loose Coupling。服务的可发现性,平台无关性,接口的自描述性构成了Web Service的这一重要特点。而正是由于这个特点,Web Service被广泛的用于企业信息集成,其
asp.net C# webservice安全性方案
大猴子的学习园地
01-24 3057
做项目时,经常会用到WebService来通讯,但WebService发布后为了能调用,一般都通过发布到IIS后调用 的。在IIS里可以通过匿名访问,但这样大家都可能访问,不安全,因此可以提供操作系统分配一个帐号来登录到IIS 。这只是对访问服务器上的文件进行了限制,以前我也是采用这种方式,上次看到另 一种方法来防止 别人调用WebService,就是对方面进行加密,总结下来,对于WebSer
webservice 安全性 对外_CXF WebService 安全性通信
weixin_39610807的博客
12-19 86
用WSS4J的安全handler处理即可。服务端定义:注意:ServerPasswordCallback实现CallbackHandler接口import java.io.IOException;import javax.security.auth.callback.Callback;import javax.security.auth.callback.CallbackHandler;impor...
SOAP应用模式: 基础与安全
lylhelin的专栏
09-21 637
2002 年 8 月 01 日 SOAP应用模式是一个由四篇文章组成的系列,主要讨论的是如何将SOAP应用到各种各样的应用环境去。本文是系列的第一篇,从大多数应用的基本消息交换模式:请求/响应模式出发,探讨如何通过消息加密的方式,实现安全消息传输。 &lt;!--START RESERVED FOR FUTURE USE INCLUDE FILES--&gt;&lt;!-- include ...
WebService安全篇
dz45693的专栏
11-05 3095
WebService安全篇
Web Service指南之: Web Service的安全性
00的专栏
12-17 1052
安全对于web service至关重要,然而XML-RPC和SOAP都没有任何明确的对于安全性和认证的要求。 一下针对web service三个方面的安全问题:     1,保密;     2,认证;     3,网络安全。 保密 如果客户端发送XML请求服务端,我们能确保这次通讯保持保密吗? 答案如下: 1,XML-RPC和SOAP主要运行与HTTP。
基于SOAP标头的WebService自定义安全机制实现
传统的SOAP协议将安全性定性为传输问题,这制约了其进一步的发展。通过对XMLWebService自定义安全实现的研究, 将身份验证和授权等安全机制与传输分离,从而使得XMLWebService的应用范围得以进一步扩大,并可以根据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值