我有一个调用各种Web服务的Web应用程序。目前我没有任何ssl连接。我想用ssl。
我的问题是哪种方式最好使用ssl 1.无论何时请求,是否更好地验证凭证aganist客户端? 要么 2.一旦认证并在子服务中使用网络服务电话
答案 0 :(得分:0)
据我所知,asmx web服务是无状态的,所以你可以尝试创建一个登录方法,它可以返回使用md5或任何加密算法加密的安全令牌,并在你的方法中传递该令牌,你有各种安全算法可以看看,不需要在每种方法中要求登录和密码,你也可以考虑对auth令牌实施和过期策略。
关于ssl你只能在登录方法中配置我认为不需要subsecuent方法。
还有另外一种方法,你可以实现HMAC你可以只生成一次,然后你可以将HMAC签名附加到请求并验证该请求,如果签名你需要保存那个计算的sigature由服务器计算的匹配消息,这意味着消息被授权。
有关详细信息,您可以查看this article,我认为适用于aspx Web服务