保护Web服务的最佳方法是什么？

Question

保护Web服务的最佳方法是什么？

use*_*964 4 .net c# asp.net security web-services

由于标题已经解释,我想保护我的网络服务.我已经读过您可以使用soap身份验证标头执行此操作,但是用户名和密码将以纯文本形式传递.

我想知道我应该做些什么来保护我的网络服务？例子很棒.

我有一个我们合作的公司的例子,它有2个web服务.一个用于安全性,一个用于获取所需数据,但我没有他们的代码系统看起来很棒:

bool loginSuccessFull = false;

/// knooppunt
string loginID = ConfigurationManager.AppSettings["WebServiceLogin"];
string password = ConfigurationManager.AppSettings["WebServicePass"];


//A. The m_SecurityService object is created and initialised
Security securityService = new Security();
securityService.CookieContainer = new System.Net.CookieContainer();


string challenge = securityService.InitializeLogin(loginID);
string pwd = password;
string response = pwd + challenge;


System.Security.Cryptography.SHA1CryptoServiceProvider SHA1 = new System.Security.Cryptography.SHA1CryptoServiceProvider();
SHA1.Initialize();
byte[] hash = SHA1.ComputeHash(System.Text.Encoding.Default.GetBytes(response));

System.Text.StringBuilder builder = new System.Text.StringBuilder();
foreach (byte b in hash)
    builder.Append(b.ToString("x2"));

//2. A login is done with the m_SecurityService object
if (securityService.Login(builder.ToString()))
{
    string ssoToken = Request.QueryString["SSOTOKEN"];
    string ssoID = Request.QueryString["SSOID"];
    if (!String.IsNullOrEmpty(ssoToken) && !String.IsNullOrEmpty(ssoID))
    {
        // Check with webserice if the token is valid.
        Knooppunt.SSO.GenericSSO sso = new Knooppunt.SSO.GenericSSO();
        sso.CookieContainer = securityService.CookieContainer;
        try
        {
            if (sso.validateSSOToken(Convert.ToInt32(ssoID), ssoToken))
            {
                loginSuccessFull = true;
                FormsAuthentication.RedirectFromLoginPage("default user", false);
            }
        }
        catch
        { }
    }
}

Run Code Online (Sandbox Code Playgroud)

Answer 1

cas*_*One 5

如果它确实是一个Web服务,您应该使用Windows Communication Foundation来生成代理并进行调用.它使得很多代码变得更加容易.

老实说,看起来用于连接到您正在使用的Web服务的程序包(SSO？)是非常非标准的,除了派生之外什么都没有HttpWebRequest,这非常低级,而且太复杂而无法使用.

如果要保护自己的Web服务(并且通过HTTP通道公开它),最简单的方法是为主机获取数字证书,然后通过HTTPS使用基本HTTP身份验证.

您还可以使用WS-Security规范的其他方面(例如编码消息等)来保护您的服务.

请注意,WCF支持所有这些选项,因此您不必开箱即可完成任何此类编码,并且您也可以在IIS中托管它.

一个好的初学者参考WCF是Michelle Bustamante的"学习WCF:动手指南".

之后,对于更高级的WCF内容(特别是如果你想了解围绕WCF和WS-*中的安全性的概念)我强烈推荐Juval Lowy的"编程WCF服务".

归档时间：	15 年，8 月前
查看次数：	2913 次
最近记录：	12 年，10 月前