c# - 保护网络服务的最佳方式是什么？

Question

正如标题 allready 所解释的那样，我想保护我的网络服务。 我读过您可以使用 soap 身份验证 header 执行此操作，但用户名和密码将以纯文本形式传递。

我想知道应该如何保护我的网络服务？ 例子会很棒。

我有一个与我们合作的公司的例子，它有 2 个网络服务。 一个负责安全，一个负责获取所需的数据，但我没有他们的代码，但系统看起来很棒:

bool loginSuccessFull = false;

/// knooppunt
string loginID = ConfigurationManager.AppSettings["WebServiceLogin"];
string password = ConfigurationManager.AppSettings["WebServicePass"];


//A. The m_SecurityService object is created and initialised
Security securityService = new Security();
securityService.CookieContainer = new System.Net.CookieContainer();


string challenge = securityService.InitializeLogin(loginID);
string pwd = password;
string response = pwd + challenge;


System.Security.Cryptography.SHA1CryptoServiceProvider SHA1 = new System.Security.Cryptography.SHA1CryptoServiceProvider();
SHA1.Initialize();
byte[] hash = SHA1.ComputeHash(System.Text.Encoding.Default.GetBytes(response));

System.Text.StringBuilder builder = new System.Text.StringBuilder();
foreach (byte b in hash)
    builder.Append(b.ToString("x2"));

//2. A login is done with the m_SecurityService object
if (securityService.Login(builder.ToString()))
{
    string ssoToken = Request.QueryString["SSOTOKEN"];
    string ssoID = Request.QueryString["SSOID"];
    if (!String.IsNullOrEmpty(ssoToken) && !String.IsNullOrEmpty(ssoID))
    {
        // Check with webserice if the token is valid.
        Knooppunt.SSO.GenericSSO sso = new Knooppunt.SSO.GenericSSO();
        sso.CookieContainer = securityService.CookieContainer;
        try
        {
            if (sso.validateSSOToken(Convert.ToInt32(ssoID), ssoToken))
            {
                loginSuccessFull = true;
                FormsAuthentication.RedirectFromLoginPage("default user", false);
            }
        }
        catch
        { }
    }
}

Answer 1

如果它真的是一个网络服务，你应该使用 Windows Communication Foundation生成代理并进行调用。它使很多代码变得非常非常容易。

老实说，看起来用于连接到您正在使用的 Web 服务(SSO？)的包非常不标准，只不过是从 HttpWebRequest 派生的。 ，这是非常低级的，而且使用起来太复杂。

如果您要保护自己的 Web 服务(并且通过 HTTP channel 公开它)，最简单的方法是为您的主机获取数字证书，然后使用基于 HTTPS 的基本 HTTP 身份验证。

您还可以使用 WS-Security specifications 的其他方面(例如，对消息进行编码等)以保护您的服务。

请注意，WCF 支持所有这些选项，因此您不必开箱即用地进行任何编码，您也可以将其托管在 IIS 中。

一个很好的 WCF 初学者引用是 Michelle Bustamante's "Learning WCF: A Hands-On Guide" .

之后，对于更高级的 WCF 内容(特别是如果您想了解围绕 WCF 和 WS-* 中的安全性的概念)，我强烈推荐 "Programming WCF Services" by Juval Lowy .