WebService的安全性讨论【身份识别】

最新推荐文章于 2021-01-30 14:07:41 发布
最新推荐文章于 2021-01-30 14:07:41 发布
阅读量31 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/HeroBeast/archive/2011/03/23/1992144.html
版权

相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了.

首先我们来介绍webservice下的两种验证方式,

一.通过集成windows身份验证

通过集成windows方式解决webservice的安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然因为与windows紧密的结合到了一起,缺点自然也很明显了,第一,不便于移植,第二,要进行相关的配置部署工作(当然我们也可以用代码来操作IIS,只不过比较麻烦,最近一直做自动化部署,所以一讲到配置马上就会联想到怎么去自动部署)

具体怎么做呢?

服务器端:配置IIS虚拟目录为集成windows身份验证

客户端:

Service1 wr = new Service1(); //web service实例   

wr.Credentials = new NetworkCredential("administrator","123"); //用户名密码   

lblTest.Text = wr.Add(2,2).ToString(); //调用Add的 web service方法

二.使用 SoapHeader(SOAP 标头)自定义身份验证

SoapHeader 多数情况下用来传递用户身份验证信息,当然它的作用远不止如此,有待于在实际应用中发掘,体可以实现哪些东西大家有想法可以留言一起交流.

SoapHeader 使用步骤:
(1) 创建继承自 System.Web.WebServices.SoapHeader 的自定义 SoapHeader 类型。
(2) 在 WebService 中创建拥有 public 访问权限的自定义 SoapHeader 字段。
(3) 在需要使用 SoapHeader 的 WebMethod 上添加 SoapHeaderAttribute 访问特性。SoapHeaderAttribute 构造必须指定 memberName 参数,就是我们在第二步中申明的字段名称。
(4) 生成器会自动为客户端生成同名的自定义 SoapHeader 类型,只不过比起我们在 WebService 端创建的要复杂一些。同时还会为代理类型添加一个 soapheaderValue 属性。

下面展示一段SoapHeader的代码,多余的方法将会在后面用到

客户端

class Program
    {
        static void Main(string[] args)
        {
            Service1 ws = new Service1();
            ServiceCredential mycredential = new ServiceCredential();

            mycredential.User = "gazi";
            mycredential.Password="gazi";
            ws.ServiceCredentialValue = mycredential;
            string  mystr=ws.SayHello();            
        }
    }

服务器端

public class Service1 : System.Web.Services.WebService
    {
        public ServiceCredential myCredential;

        [WebMethod]
        [SoapHeader("myCredential", Direction = SoapHeaderDirection.In)]
        public string  SayHello() 
        { 
            return "hello";
        }
    }



public class ServiceCredential : SoapHeader
    {
        public string User;
        public string Password;
        public static bool ValideUser(string User,string Password)
        {
            return true;
        }
        public static void CheckUser(Object sender, WebServiceAuthenticationEvent e)
        {
            if (ValideUser(e.User, e.Password))
            {
                return;
            }
            else
            {
                WebServiceAuthenticationModule module = sender as WebServiceAuthenticationModule;
                module.Result.AddRule("验证错误", "不能确认您的身份,请检查用户名和密码");
            }
        }
    }

当我们拥有很多个类的时候,要添加一个或者删除一个验证方式(假设需要进行多种认证)是非常麻烦的,我们不可能跑到每个方法里面去加一个方法调用,这是灾难性的工作,当然我们也可以用AOP来实现,Aop的话需要额外增加很多代码或者直接引入第三方来做,但是我们可不可以有更简便的方法呢?

OK,答案就是使用HttpModule,我们集成IHttpModule写一个处理模块,那么它的原理是什么呢?具体进行了哪些操作呢?我们的思路如下:

  1. HTTP Module 分析 HTTP 消息以检查它们是不是 SOAP 消息。
  2. 如果 HTTP Module 检测到 SOAP 消息,它会读取 SOAP 标头。
  3. 如果 SOAP 消息的 SOAP 标头中有身份验证凭据,HTTP Module 将引发一个自定义 global.asax 事件。

下面来看看我们的Module代码

public class WebServiceAuthenticationModule : IHttpModule
{
    private static WebServiceAuthenticationEventHandler
                  _eventHandler = null;
    /// <summary>
    /// 验证事件.绑定到此事件可进行对用户身份的识别
    /// </summary>
    public static event WebServiceAuthenticationEventHandler Authenticate
    {
        add { _eventHandler += value; }
        remove { _eventHandler -= value; }
    }
    public Result Result = new Result();

    public void Dispose()
    {
    }
    public void Init(HttpApplication app)
    {
        app.AuthenticateRequest += new
                   EventHandler(this.OnEnter);
        Result.EndValid += new 
            EventHandler(this.OnCheckError);
    }

    /// <summary>
    /// 验证用户身份
    /// </summary>
    /// <param name="e"></param>
    private void OnAuthenticate(WebServiceAuthenticationEvent e)
    {
        if (_eventHandler == null)
            return;

        _eventHandler(this, e);
        if (e.User != null)
            e.Context.User = e.Principal;
    }

    public string ModuleName
    {
        get { return "WebServiceAuthentication"; }
    }

    void OnEnter(Object source, EventArgs eventArgs)
    {
        HttpApplication app = (HttpApplication)source;
        HttpContext context = app.Context;
        Stream HttpStream = context.Request.InputStream;

        // Save the current position of stream.
        long posStream = HttpStream.Position;

        // If the request contains an HTTP_SOAPACTION 
        // header, look at this message.HTTP_SOAPACTION
        if (context.Request.ServerVariables["HTTP_SOAPACTION"] == null)
            return;

        // Load the body of the HTTP message
        // into an XML document.
        XmlDocument dom = new XmlDocument();
        string soapUser;
        string soapPassword;

        try
        {
            dom.Load(HttpStream);

            // Reset the stream position.
            HttpStream.Position = posStream;

            // Bind to the Authentication header.
            soapUser =
                dom.GetElementsByTagName("User").Item(0).InnerText;
            soapPassword =
                dom.GetElementsByTagName("Password").Item(0).InnerText;
        }
        catch (Exception e)
        {
            // Reset the position of stream.
            HttpStream.Position = posStream;

            // Throw a SOAP exception.
            XmlQualifiedName name = new
                         XmlQualifiedName("Load");
            SoapException soapException = new SoapException(
                      "SOAP请求没有包含必须的身份识别信息", name, e);
            throw soapException;
        }
        // 触发全局事件
        OnAuthenticate(new WebServiceAuthenticationEvent
                     (context, soapUser, soapPassword));
        Result.OnEndValid();
        return;
    }
    void OnCheckError(Object sender, EventArgs e)
    {
        if (Result.BrokenRules.Count == 0)
        {
            return;
        }
        else
        {
            HttpApplication app = HttpContext.Current.ApplicationInstance;
            app.CompleteRequest();
            app.Context.Response.Write(Result.Error);
        }
    }
}

Authenticate事件是一个静态的变量,这样我们可以在程序的外部来订阅和取消订阅事件(非静态的public 事件在外部也是不能进行订阅和取消订阅事件的,这也是事件和委托的一个区别之一)

下面是我们的事件参数以及委托

public delegate void WebServiceAuthenticationEventHandler(Object sender, WebServiceAuthenticationEvent e);

 /// <summary>
 /// 封装的事件参数
 /// </summary>
 public class WebServiceAuthenticationEvent : EventArgs
 {
     private IPrincipal _IPrincipalUser;
     private HttpContext _Context;
     private string _User;
     private string _Password;

     public WebServiceAuthenticationEvent(HttpContext context)
     {
         _Context = context;
     }

     public WebServiceAuthenticationEvent(HttpContext context,
                     string user, string password)
     {
         _Context = context;
         _User = user;
         _Password = password;
     }
     public HttpContext Context
     {
         get { return _Context; }
     }
     public IPrincipal Principal
     {
         get { return _IPrincipalUser; }
         set { _IPrincipalUser = value; }
     }
     public void Authenticate()
     {
         GenericIdentity i = new GenericIdentity(User);
         this.Principal = new GenericPrincipal(i, new String[0]);
     }
     public void Authenticate(string[] roles)
     {
         GenericIdentity i = new GenericIdentity(User);
         this.Principal = new GenericPrincipal(i, roles);
     }
     public string User
     {
         get { return _User; }
         set { _User = value; }
     }
     public string Password
     {
         get { return _Password; }
         set { _Password = value; }
     }
     public bool HasCredentials
     {
         get
         {
             if ((_User == null) || (_Password == null))
                 return false;
             return true;
         }
     }
 }

我们在Global.asax的Application_Start方法里面把前面介绍的静态方法ServiceCredential.CheckUser订阅到我们Authenticate事件上,前面提到的增加和删除多种认证方式就是通过这种方法实现的.

protected void Application_Start(object sender, EventArgs e) 
{ 
WebServiceAuthenticationModule.Authenticate += ServiceCredential.CheckUser; 
}

我们在ServiceCredential.ValideUser方法设置了返回false,这是针对测试的一个配置,实际情况下我们可以和数据库结合起来写一个认证
运行上面讲解SoapHeader的那段代码,你会发现我们的认证已经有效了.关于文章中用到的Result类改天在用一篇文章记录一下,这是一个非常好的记录错误的方案.

原文:http://www.cnblogs.com/Creator/archive/2011/03/23/1992019.html

转载于:https://www.cnblogs.com/HeroBeast/archive/2011/03/23/1992144.html

weixin_30278311
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C#WebService-Soap扩展实现安全认证
11-24
分高但绝对值-简介: 1、利用SoapExtension,SoapExtensionAttribute,实现Soap自定义Attribute(标签)扩展类。 2、利用SoapHeader应用Soap扩展。 3、在写WebService时只需加认证标签,客户端调用时传入SoapHeader,即可完成认证。 4、当然你还可以发挥,比如压缩消息,日志记录,Trace之类,网上也有很多文章讲。
webservice安全性浅谈
weixin_30485799的博客
11-19 98
做项目时,经常用到WebService来通讯,但WebService发布后为了能调用,一般都通过发布到IIS后调用 的。在IIS里可以通过匿名访问,但这样大家都可能访问,不安全,因此可以提供操作系统分配一个帐号来登录到IIS 。这只是对访问服务器上的文件进行了限制,以前我也是采用这种方式,上次看到另 一种方法来防止 别人调用WebService,就是对方面进行加密,总结下来,对于W...
Webservice 安全性访问
manjianghong86的专栏
04-01 479
1.访问安全性     WebService对于我们来说并不陌生,在很多地方我们都使用到它,它为我们带来了很多方便,同时解决了多平台之间的通讯协议问题等等,因为WebService是以一种Http请求和Xml响应的方式来达成多平台之间的接入。这种方式我们一般称之为‘接口’。这里需要说明的是:所谓平台是指开发平台(例如ASP.NET和Java等开发平台)和站点平台(例如淘宝网站和支付宝网站)
webservice安全性
anying6121的博客
12-07 106
一.使用soaphead方法可以在webservice的请求中增加头部信息,当有人调用我们的webservice时,可以通过查询这个请求的头部信息并验证来防止该软件以外的程序调用webservice 服务器部分using System; using System.Web.Services; using System.Web.Services.Proto...
WebService安全性之SoapHeader
04-22
WebService安全性SoapHeader 运行环境 VS2010
WebService的安全机制
12-25
WebService的安全机制
js调用webservice构造SOAP进行身份验证
10-22
主要介绍了js调用webservice构造SOAP进行身份验证的相关资料,需要的朋友可以参考下
WebService的安全机制.doc
11-21
WebService的安全机制.doc
金蝶EAS-Webservice安全模式
03-27
设置金蝶EAS接口安全模式,解决多数据中心不串数据问题
Web Service的安全性解决方法
04-08
对我们使用Webservice提供了安全性方面的解决办法
浅谈提高WebService的访问安全性
weixin_30376509的博客
11-27 145
1.访问安全性 WebService对于我们来说并不陌生,在很多地方我们都使用到它,它为我们带来了很多方便,同时解决了多平台之间的通讯协议问题等等,因为WebService是以一种Http请求和Xml响应的方式来达成多平台之间的接入。这种方式我们一般称之为‘接口’。这里需要说明的是:所谓平台是指开发平台(例如ASP.NET和Java等开发平台)和站点平台(例如淘宝网站和支付宝网站)。就...
Web Service指南之: Web Service的安全性
00的专栏
12-17 1000
安全对于web service至关重要,然而XML-RPC和SOAP都没有任何明确的对于安全性和认证的要求。 一下针对web service三个方面的安全问题:     1,保密;     2,认证;     3,网络安全。 保密 如果客户端发送XML请求服务端,我们能确保这次通讯保持保密吗? 答案如下: 1,XML-RPC和SOAP主要运行与HTTP。
webservice 安全性 对外_webservice安全性
weixin_39542889的博客
12-19 117
一.使用soaphead方法可以在webservice的请求中增加头部信息,当有人调用我们的webservice时,可以通过查询这个请求的头部信息并验证来防止该软件以外的程序调用webservice服务器部分using System;using System.Web.Services;using System.Web.Services.Protocols;// 请注意此命名空间必须...
webservice 安全性 对外_WebService安全性的几种实现方法【身份识别
weixin_40008033的博客
12-19 337
相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService身份识别实现方式,当然本文提供一个不是很完善的例子,权当抱砖引玉了.首先我们来介绍webservice下的两种验证方式,一.通过集成windows身份验证通过集成windows方式解决webservice的安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然因为与win...
WebService 简单安全验证
weixin_30371469的博客
03-04 141
最近新接了一个需要调用第三方WebService的项目,看到这个第三方WebService被调用的时候,需要授权用户名和密码,于是自己也想对WebService的安全授权这个方面进行了一下研究,以前调用的WebService大部分都是局域网内部调用,几乎没有什么权限需要增加的,今天借此机,深入研究了一下,发现实现起来还是挺容易的。 基本原理就是利用SoapHeader...
webservice 安全性 对外_WebService开发笔记 3 -- 增强访问 WebService安全性
weixin_29422145的博客
01-30 615
WebService开发笔记 1中我们创建了一个WebService简单实例,下面我们通过一个简单的用户口令验证机制来加强一下WebService安全性:1.修改WebService 服务端 spring 配置文件 ws-context.xmlxmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:jaxws="http://cxf....
webservice 安全性 对外_解决WebService安全性
weixin_39852647的博客
12-19 718
有些项目确实要用到webservices,如多种语言实现的cs系统,还有些公司业务很多,系统间需要互相调用。webservices很简单,他只是一个暴露服务的组件而已,用起来简单,但是用的时候我们需要考虑的是安全性。是的你可以直接des加密返回值。简单粗暴,但是不方便啊,那么一起探讨一下在各种环境下实现webservices安全性。要解决 XML Web Service 安全性问题我们需要考虑以下...
纯java调用ws-security+axis实现的webservice安全接口 调用
最新发布
12-28
在向目标WebService发送请求时,需要使用这些安全凭据来进行身份验证和加密通信,以确保通信过程的安全性和可靠性。通过在Java代码中加入相应的安全配置,并在调用WebService时传递正确的安全凭据,就能够实现对WS-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值