正如标题 allready 所解释的那样,我想保护我的网络服务。 我读过您可以使用 soap 身份验证 header 执行此操作,但用户名和密码将以纯文本形式传递。
我想知道应该如何保护我的网络服务? 例子会很棒。
我有一个与我们合作的公司的例子,它有 2 个网络服务。 一个负责安全,一个负责获取所需的数据,但我没有他们的代码,但系统看起来很棒:
bool loginSuccessFull = false;
/// knooppunt
string loginID = ConfigurationManager.AppSettings["WebServiceLogin"];
string password = ConfigurationManager.AppSettings["WebServicePass"];
//A. The m_SecurityService object is created and initialised
Security securityService = new Security();
securityService.CookieContainer = new System.Net.CookieContainer();
string challenge = securityService.InitializeLogin(loginID);
string pwd = password;
string response = pwd + challenge;
System.Security.Cryptography.SHA1CryptoServiceProvider SHA1 = new System.Security.Cryptography.SHA1CryptoServiceProvider();
SHA1.Initialize();
byte[] hash = SHA1.ComputeHash(System.Text.Encoding.Default.GetBytes(response));
System.Text.StringBuilder builder = new System.Text.StringBuilder();
foreach (byte b in hash)
builder.Append(b.ToString("x2"));
//2. A login is done with the m_SecurityService object
if (securityService.Login(builder.ToString()))
{
string ssoToken = Request.QueryString["SSOTOKEN"];
string ssoID = Request.QueryString["SSOID"];
if (!String.IsNullOrEmpty(ssoToken) && !String.IsNullOrEmpty(ssoID))
{
// Check with webserice if the token is valid.
Knooppunt.SSO.GenericSSO sso = new Knooppunt.SSO.GenericSSO();
sso.CookieContainer = securityService.CookieContainer;
try
{
if (sso.validateSSOToken(Convert.ToInt32(ssoID), ssoToken))
{
loginSuccessFull = true;
FormsAuthentication.RedirectFromLoginPage("default user", false);
}
}
catch
{ }
}
}
最佳答案
如果它真的是一个网络服务,你应该使用 Windows Communication Foundation生成代理并进行调用。它使很多代码变得非常非常容易。
老实说,看起来用于连接到您正在使用的 Web 服务(SSO?)的包非常不标准,只不过是从 HttpWebRequest
派生的。 ,这是非常低级的,而且使用起来太复杂。
如果您要保护自己的 Web 服务(并且通过 HTTP channel 公开它),最简单的方法是为您的主机获取数字证书,然后使用基于 HTTPS 的基本 HTTP 身份验证。
您还可以使用 WS-Security specifications 的其他方面(例如,对消息进行编码等)以保护您的服务。
请注意,WCF 支持所有这些选项,因此您不必开箱即用地进行任何编码,您也可以将其托管在 IIS 中。
一个很好的 WCF 初学者引用是 Michelle Bustamante's "Learning WCF: A Hands-On Guide" .
之后,对于更高级的 WCF 内容(特别是如果您想了解围绕 WCF 和 WS-* 中的安全性的概念),我强烈推荐 "Programming WCF Services" by Juval Lowy .
关于c# - 保护网络服务的最佳方式是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2271875/