如何使用 SOAP 对用户进行身份验证?
我是否必须要求用户在每个 SOAP 请求中发送他的用户名和密码,然后我根据数据库对他进行身份验证?
这不会引起不必要的查询吗?
最佳答案
一种更简单的方法是在第一次查询时进行身份验证,在服务器端构建一个 session 记录,其中包含远程 IP 地址和作为 authToken 提供给客户端的 token 。然后让客户端在以后的查询中传递这个 authToken。此 authToken 必须与您保留的有关客户端的内部 session 数据相匹配,但可以让您避免为了进行身份验证而必须往返数据库。
也就是说,@Marcus Adams 关于无状态性有一个很好的观点。有人在推各种SOAP security models . WS-Security是当前最先进的技术,在这里。它们都是通过将身份验证信息放在 SOAP header 中来工作的——毕竟,这就是 SOAP 消息同时包含 header 和正文部分的原因。
关于php - 如何使用 SOAP 进行身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2737685/