保护Web服务的最佳方法是什么?

时间:2010-02-16 09:49:22

标签: c# .net asp.net security web-services

由于标题已经解释,我想保护我的网络服务。 我已经读过您可以使用soap身份验证标头执行此操作,但是用户名和密码将以纯文本形式传递。

我想知道如何保护我的网络服务? 例子很棒。

我有一个我们合作的公司的例子,它有2个web服务。 一个用于安全性,另一个用于获取所需数据,但我没有他们的代码,系统看起来很棒:

bool loginSuccessFull = false;

/// knooppunt
string loginID = ConfigurationManager.AppSettings["WebServiceLogin"];
string password = ConfigurationManager.AppSettings["WebServicePass"];


//A. The m_SecurityService object is created and initialised
Security securityService = new Security();
securityService.CookieContainer = new System.Net.CookieContainer();


string challenge = securityService.InitializeLogin(loginID);
string pwd = password;
string response = pwd + challenge;


System.Security.Cryptography.SHA1CryptoServiceProvider SHA1 = new System.Security.Cryptography.SHA1CryptoServiceProvider();
SHA1.Initialize();
byte[] hash = SHA1.ComputeHash(System.Text.Encoding.Default.GetBytes(response));

System.Text.StringBuilder builder = new System.Text.StringBuilder();
foreach (byte b in hash)
    builder.Append(b.ToString("x2"));

//2. A login is done with the m_SecurityService object
if (securityService.Login(builder.ToString()))
{
    string ssoToken = Request.QueryString["SSOTOKEN"];
    string ssoID = Request.QueryString["SSOID"];
    if (!String.IsNullOrEmpty(ssoToken) && !String.IsNullOrEmpty(ssoID))
    {
        // Check with webserice if the token is valid.
        Knooppunt.SSO.GenericSSO sso = new Knooppunt.SSO.GenericSSO();
        sso.CookieContainer = securityService.CookieContainer;
        try
        {
            if (sso.validateSSOToken(Convert.ToInt32(ssoID), ssoToken))
            {
                loginSuccessFull = true;
                FormsAuthentication.RedirectFromLoginPage("default user", false);
            }
        }
        catch
        { }
    }
}

1 个答案:

答案 0 :(得分:5)

如果它确实是一个Web服务,您应该使用Windows Communication Foundation来生成代理并进行调用。它使很多代码变得更加容易。

老实说,看起来用于连接到您正在使用的Web服务的程序包(SSO?)非常不标准,除了派生自HttpWebRequest之外,它只是非常低级别太复杂,无法使用。

如果您要保护自己的Web服务(并且通过HTTP通道公开它),最简单的方法是为您的主机获取数字证书,然后通过HTTPS使用基本的HTTP身份验证。

您还可以使用WS-Security specifications的其他方面(例如对邮件进行编码等)来保护您的服务。

请注意,WCF支持这些选项的全部,因此您不必开箱即可完成任何此类编码,也可以在IIS中托管它。

一个好的初学者对WCF的引用是Michelle Bustamante's "Learning WCF: A Hands-On Guide"

之后,对于更高级的WCF内容(特别是如果您想了解围绕WCF和WS- *中的安全性的概念)我高度推荐"Programming WCF Services" by Juval Lowy

相关问题
最新问题