2. 科技
  3. WebService安全访问(资料收集)

WebService安全访问(资料收集)

it2024-10-29  12

一、

 

C#调用Web Service时的身份验证

        在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑以下问题:怎么防止别人访问我的WebService?从哪里引用我的WebService?对于第一个问题,就涉及到了WebService是安全问题,因为我们提供的WebService不是允许所有人能引用 的,可能只允许本公司或者是通过授权的人才能使用的。那怎么防止非法用户访问呢?很容易想到通过一组用户名与密码来防止非法用户的调用 。        在System.Net中提供了一个NetworkCredential,通过它我们可以在网络中提供一个凭证,只有获得该凭证的用户才能访问相应的服务的权限。在这里我们也使用NetworkCredential。在NetworkCredential中,我们通过提供WebService发布所在的服务器名称,以及登录服务器并调用该WebService的用户名及密码(在IIS中配置)。 在调用WebService时设置其Credential属性,把上面得到的Credential凭证赋值给它,这样只有使用提供的用户名及密码才能调用WebService服务了而其他用户则无法访问,这样就能能满足防止WebService被别人调用了。        至于主机名,用户名及密码,对于B/S可以通过webconfig来配置,对于C/S可以使用应用程序配置文件。这样就能灵活地配置了。 如下以C/S为例来说明,首先我们提供一个服务器网络凭证,然后通过WebRequest来验证连接是否成功。当然了,为了保存用户名与密码等的安全,可以对其进行加密等手段来保证其安全。 以下是主要源代码: Code  1        /**//// <summary> 2        /// 服务器网络凭证 3        /// </summary> 4        /// <returns></returns> 5        public static NetworkCredential MyCred() 6        { 7            string loginUser = Properties.Settings.Default.UserName;//用户名 8            string loginPSW = Properties.Settings.Default.UserPSW;//密码 9            string loginHost = Properties.Settings.Default.HostName;//主机名,可以是IP地址,也可以服务器名称10            NetworkCredential myCred = new NetworkCredential(loginUser,loginPSW, loginHost);11            //NetworkCredential myCred = new NetworkCredential("username", "123456", "yourip");//"username", "123456", "yourservername"12            return myCred;13        }14        /**//// <summary>15        /// 验证是否成功连接到服务器,若连接成功,则返回TRUE16        /// </summary>17        /// <param name="url">服务器WebService URL</param>18        /// <returns></returns>19        public static bool Credential(string url)20        {21           //定义局部变量22           string url = G_Url;//2009-02-25 陈辉聪  服务器验证只验证到机器2324            try25            {26                if (myWebResponse == null)27                {28                    WebRequest myWebRequest = WebRequest.Create(url);//根据URL创建一个连接请求29                    myWebRequest.Credentials = MyCred();//获取验证的凭证,这是最重要的一句30                    myWebRequest.Timeout = 20000;//单位为毫秒3132                    myWebResponse = myWebRequest.GetResponse();//返回连接成功时的信息33                }34            }35            catch (WebException wex)//无法连接到服务器,可能是因为服务器错误或用户名与密码错误36            {37                if (myWebResponse != null)//毁销38                {39                    myWebResponse.Close();40                    myWebResponse = null;41                }4243                return false;44            }45            catch (Exception ex)46            {47                if (myWebResponse != null)48                {49                    myWebResponse.Close();50                    myWebResponse = null;51                }5253                return false;5455            }56            finally57            {58            }5960            return true;61        }6263       private static WS_Webasic.WS_Webasic webasic =null;//实现华WS_Webasic.WS_Webasic 6465        /**//// <summary>66        /// WS_Webasic初始化67        /// </summary>68        public static WS_Webasic.WS_Webasic WS_Webasic69        {70            get71            {72                if (webasic == null)//若webasic 为空,则重新实例化,这样可以减少验证的时间,提高效率73                {74                    //webasic = new ZEDI.WS_Webasic.WS_Webasic();75                    //wsBool = Credential(webasic.Url);//URL改为服务器地址 2009-02-25 陈辉聪 chhuic@163.com76                    wsBool = Credential(G_Url); 77                    if (wsBool == true)  //服务器连接验证通过78                    {79                        webasic = new WS_Webasic.WS_Webasic();//实例化80                        webasic.Credentials = MyCred();//得到服务器连接凭证,这样该WebService可以放心的连接了81                    }82                }83                return webasic;84            }85        } 注: (1)必须引用 System.Net; (2)对WebService发访问,在IIS里取消匿名访问权限,若允许匿名访问,就没有必须提供验证凭证了。IIS里怎么取消匿名访问 权限请参照IIS相关文章,这里不在累赘。 验证是有时速度会比较慢,主要是因为myWebResponse = myWebRequest.GetResponse();

http://www.cnblogs.com/chhuic/archive/2009/09/28/1576050.html

 

二、

  第二、在第一种方法的基础上对WebService里的方法进行加密,这里面方法很多,下面提供一种比较常用的方法。在调用方法时多提供二个参数用户加密解密用(当然了提供几个参数看自己的需要而定)。比如有个WebService方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);如果只提供一个参数,则很容易被别人访问调用,从而顾客资料很容易被别人获取,因此我们对这个方法进行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);这样,只有提供正确的scustID与ecustID这二个参数才能成功调用这个方法,而对于这二个参数scustID与ecustID,则可以通过加密方法生成一个字符串,如scustID='C39134558',ecustID='C39223525',只有这二个参数满足一定的条件时才算验证通过,而对于参数来说,我们也可以提供一个验证,如果scustID里的值C39134558,前面三位必须是C39,紧跟5位13455则相加后的值18进行位操作如,对值18加一个因子,如1,则出现以下的运行:(18+1)%11==8,这样只有最后一位为8才算这个参数值是符合要求的,所以随便输入一个参数如:C39134556,则因为不符合要求,所以验证不能通过。在这里即使二个参数scustID='C39134558',ecustID='C39223525'都对了,则还需要通过这二个参数的进一步的验证才能算成功。至于这二个满足什么要求,一种是可以采用现有的加密机制,也可以自己写一个加密类来袜。 上面只是举一个简单的例子。

     通过上面的二个步骤,则可以实现比较安全的WebService调用了。当然方法很多,上面只是小弟的一些经验而已,如果博友还有更好的方法,不吝赐教。

http://www.cnblogs.com/chhuic/archive/2009/11/19/1606109.html

 

三、http://www.pin5i.com/showtopic-25187.html  http://www.pin5i.com/showtopic-15918.html

解决方案一:通过通过SOAP Header身份验证。1.我们实现一个用于身份验证的类,文件名MySoapHeader.cs MySoapHeader类继承自System.Web.Services.Protocols.SoapHeader。且定义了两个成员变量,UserName和PassWord,还定义了一个用户认证的函数ValideUser。它提供了对UserName和PassWord检查的功能

using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.HtmlControls;using System.Web.UI.WebControls;using System.Web.UI.WebControls.WebParts;using System.Web.Services;using System.Web.Services.Protocols;/// <summary>///MySoapHeader 的摘要说明/// </summary>public class MySoapHeader:SoapHeader{    public MySoapHeader()    {        //        //TODO: 在此处添加构造函数逻辑        //    }    public string UserName;    public string PassWord;    public bool ValideUser(string in_UserName, string in_PassWord)      {        if ((in_UserName == "zxq") && (in_PassWord == "123456"))        {            return true;        }        else        {            return false;        }    }}

2.下面我们创建WebService.asmx    WebService.cs代码如下:

using System;using System.Collections;using System.Web;using System.Web.Services;using System.Web.Services.Protocols; /// <summary>///WebService 的摘要说明/// </summary>[WebService(Namespace = "http://tempuri.org/")][WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]public class WebService : System.Web.Services.WebService{    public WebService()    {        //如果使用设计的组件,请取消注释以下行         //InitializeComponent();     }     public MySoapHeader header; 定义用户身份验证类变量header    [WebMethod(Description = "用户验证测试")]    [System.Web.Services.Protocols.SoapHeader("header")]//用户身份验证的soap头     public string HelloWorld(string contents)    {        //验证是否有权访问         if (header.ValideUser(header.UserName, header.PassWord))        {            return contents + "执行了";        }        else        {            return "您没有权限访问";        }    }} 复制代码

3.客户端 创建个Default.aspx Default.aspx .cs代码

using System;using System.Configuration;using System.Data;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.HtmlControls;using System.Web.UI.WebControls;using System.Web.UI.WebControls.WebParts;public partial class _Default : System.Web.UI.Page {    protected void Page_Load(object sender, EventArgs e)    {        com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改成您自己的)        com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用创建soap头对象(改成您自己的)        //设置soap头变量        Header.UserName = "zxq";        Header.PassWord = "123456";        test.MySoapHeaderValue = Header;        //调用web 方法        Response.Write(test.HelloWorld("我是强"));    }}

解决方案二:通过集成windows身份验证。1. 将web服务程序设为集成windows身份验证  2.客户端web引用代码

Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service实例 wr.Credentials = new NetworkCredential("guest","123"); //guest是用户名,该用户需要有一定的权限 lblTest.Text = wr.Add(2,2).ToString(); //调用web service方法

该方案的优点是比较安全性能较好,缺点是不便于移植,部署工作量大。(

转载于:https://www.cnblogs.com/wuhenke/archive/2009/12/07/1618932.html

相关资源:数据结构—成绩单生成器
最新回复(0)