Jac*_*ues 5 asp.net security web-services
我无法理解的是Web服务的安全性.
例如,我们正在编写一个桌面应用程序,它将与我们的某个网站上的数据以及本地数据进行交互.这些数据虽然很敏感,但我们最不希望看到的是任何调用Web服务的人.
我还没有找到任何说Web服务有某种身份验证方法的东西,我见过人们谈到的唯一安全性是使用证书来加密消息.
我不是这方面的大师,并且会感谢任何人的意见,也许是一个可以用简单的术语解释这个问题的链接.
谢谢雅克
如果您使用ASP.NET创建响应/请求服务,则只有3个选项
您指定的服务,您可以ASMX和WCF之间进行选择,然后(你可以阅读我的回答ASMX和WCF之间的差异在这里)
请记住这一点
ASMX被视为已弃用的技术,由WCF取代.因此,如果您要开始需要公开可重用服务的新开发,那么WCF就是您的选择.
现在,当我们需要保护服务时,有一个共同的模式,那就是使用会话密钥.
该服务通常有一个登录方法,它获取一个用户和某种密码(通常是哈希,盐渍等),并返回一个有时间限制的"票证"(滑动与否 - 表示每次调用一个期间得到重置的方法,并且所有调用都需要将该票证包含在消息正文中.
像Magento和其他服务API 使用它.
或者具有预先生成的密钥,该密钥被提供给用户/应用程序以用于每次呼叫
像Campaign Monitor和MailChimp等服务API 使用它.
另一种常规方法是始终在邮件头中包含用户和其他凭据.
像SuperOffice CRM和其他服务API 使用它.
这些服务都没有使用SSL,因为我只会使用,如果我真的需要保护"线路"中的数据,请记住SSL会扩展每次呼叫的响应时间.
我希望这有帮助
我们的网络服务通过 SSL(证书部分)加密,即https://www.yousite.com而不是http://www.yoursite.com。这只是为数据流提供基本的加密。请参阅SSL。
它们还通过为我们网站选择的身份验证方法进行身份验证。如果是windows auth,或者forms auth。请参阅有关 ASP .NET 身份验证的msdn 页面。
| 归档时间: |
|
| 查看次数: |
4674 次 |
| 最近记录: |