如何保护我的Web服务,用户名/密码或令牌?

时间:2014-04-16 11:19:57

标签: web-services security

我现在正在开发Web服务,但我希望经过身份验证的人有权使用Web服务。现在我有两种方法,一种是在每个服务中使用用户名和密码,另一种是首先使用用户名和密码登录并获取令牌,然后通过令牌访问其他服务。现在我想知道哪个更好?假设我使用https,通过用户名和密码是安全的。但我的导师告诉我们通常使用令牌。那么可以从安全性,性能或任何其他方面详细比较这两种方法吗?非常感谢!

2 个答案:

答案 0 :(得分:0)

如果您使用的是SOAP,则可以实现soap标头身份验证。 或http标题中的基本

答案 1 :(得分:0)

按以下方式实施系统。

用户应在第一个请求中发送加密格式密码和UserID。

密码身份验证逻辑可以是您唯一的,但要确保密码不会以纯文本形式显示在SOAP消息中。

接下来在您的服务端,实现一个服务处理程序,它维护一个经过身份验证的IP地址列表。

每当新IP地址尝试联系您的服务时,您都会验证其凭据,然后如果经过身份验证,则会将IP添加到您的安全IP列表中。

如果身份验证失败,您将拒绝该请求。

如果是多个服务,请为其实现一个公共服务处理程序。并将IP列表保存为静态变量。

除此之外您可以查看Web服务安全性:

依旧......