WebService 之 身份验证

  在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑到了WebService是安全问题,很容易想到通过一组用户名与密码来防止非法用户的调用 。

一、NetworkCredential方式
  在 System.Net 命名空间中提供了一个NetworkCredential,通过它我们可以在网络中提供一个凭证,只有获得该凭证的用户才能访问相应的服务的权限。在NetworkCredential 中,我们通过提供WebService发布所在的服务器名称,以及登录服务器并调用该WebService的用户名及密码(在IIS中配置)。
  在调用WebService时设置其Credential属性,把上面得到的Credential凭证赋值给它,这样只有使用提供的用户名及密码才能调用WebService服务了而其他用户则无法访问,这样就能能满足防止WebService被别人调用了。
  至于主机名,用户名及密码,对于B/S可以通过webconfig来配置;对于C/S可以使用应用程序配置文件。如下以C/S为例来说明,首先我们提供一个服务器网络凭证,然后通过WebRequest来验证连接是否成功。当然了,为了保存用户名与密码等的安全,可以对其进行加密等手段来保证其安全。

        /// <summary>
        /// 服务器网络凭证
        /// </summary>
        /// <returns></returns>
        public static NetworkCredential MyCred()
        {
            string loginUser = Properties.Settings.Default.UserName;//用户名
            string loginPSW = Properties.Settings.Default.UserPSW;//密码
            string loginHost = Properties.Settings.Default.HostName;//主机名,可以是IP地址,也可以服务器名称
            NetworkCredential myCred = new NetworkCredential(loginUser, loginPSW, loginHost);
            //NetworkCredential myCred = new NetworkCredential("username", "123456", "yourip");//"username", "123456", "yourservername"
            return myCred;
        }
        /// <summary>
        /// 验证是否成功连接到服务器,若连接成功,则返回TRUE
        /// </summary>
        /// <param name="url">服务器WebService URL</param>
        /// <returns></returns>
        public static bool Credential(string url)
        {
            //定义局部变量
            string url = G_Url; //服务器验证只验证到机器
            try
            {
                if (myWebResponse == null)
                {
                    WebRequest myWebRequest = WebRequest.Create(url);//根据URL创建一个连接请求
                    myWebRequest.Credentials = MyCred();//获取验证的凭证,这是最重要的一句
                    myWebRequest.Timeout = 20000;//单位为毫秒
                    myWebResponse = myWebRequest.GetResponse();//返回连接成功时的信息
                }
            }
            catch (WebException wex)//无法连接到服务器,可能是因为服务器错误或用户名与密码错误
            {
                if (myWebResponse != null)//毁销
                {
                    myWebResponse.Close();
                    myWebResponse = null;
                }

                return false;
            }
            catch (Exception ex)
            {
                if (myWebResponse != null)
                {
                    myWebResponse.Close();
                    myWebResponse = null;
                }

                return false;

            }
            finally
            {
            }

            return true;
        }

        private static WS_Webasic.WS_Webasic webasic = null;//实现华WS_Webasic.WS_Webasic 

        /// <summary>
        /// WS_Webasic初始化
        /// </summary>
        public static WS_Webasic.WS_Webasic WS_Webasic
        {
            get
            {
                if (webasic == null)//若webasic 为空,则重新实例化,这样可以减少验证的时间,提高效率
                {
                    //webasic = new ZEDI.WS_Webasic.WS_Webasic();
                    //wsBool = Credential(webasic.Url);//URL改为服务器地址 2009-02-25 陈辉聪 [email protected]
                    wsBool = Credential(G_Url);
                    if (wsBool == true)  //服务器连接验证通过
                    {
                        webasic = new WS_Webasic.WS_Webasic();//实例化
                        webasic.Credentials = MyCred();//得到服务器连接凭证,这样该WebService可以放心的连接了
                    }
                }
                return webasic;
            }
        }

注:
(1)必须引用 System.Net;
(2)对WebService发访问,在IIS里取消匿名访问权限,若允许匿名访问,就没有必须提供验证凭证了。

二、

  在第一种方法的基础上对WebService里的方法进行加密,这里面方法很多,下面提供一种比较常用的方法。在调用方法时多提供两个参数用户加密解密用(当然了提供几个参数看自己的需要而定)。比如有个WebService方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);如果只提供一个参数,则很容易被别人访问调用,从而顾客资料很容易被别人获取,因此我们对这个方法进行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);这样,只有提供正确的scustID与ecustID这二个参数才能成功调用这个方法,而对于这二个参数scustID与ecustID,则可以通过加密方法生成一个字符串,如scustID=‘C39134558‘,ecustID=‘C39223525‘,只有这二个参数满足一定的条件时才算验证通过,而对于参数来说,我们也可以提供一个验证,如果scustID里的值C39134558,前面三位必须是C39,紧跟5位13455则相加后的值18进行位操作如,对值18加一个因子,如1,则出现以下的运行:(18+1)%11==8,这样只有最后一位为8才算这个参数值是符合要求的,所以随便输入一个参数如:C39134556,则因为不符合要求,所以验证不能通过。在这里即使二个参数scustID=‘C39134558‘,ecustID=‘C39223525‘都对了,则还需要通过这二个参数的进一步的验证才能算成功。至于这二个满足什么要求,一种是可以采用现有的加密机制,也可以自己写一个加密类来袜。 上面只是举一个简单的例子。

通过上面的二个步骤,则可以实现比较安全的WebService调用了。

三、通过通过SOAP Header身份验证
  1、我们实现一个用于身份验证的类,文件名MySoapHeader.cs 
  MySoapHeader类继承自System.Web.Services.Protocols.SoapHeader。且定义了两个成员变量,UserName和PassWord,还定义了一个用户认证的函数ValideUser。它提供了对UserName和PassWord检查的功能。

using System.Web.Services;
using System.Web.Services.Protocols;
/// <summary>
///MySoapHeader 的摘要说明
/// </summary>
public class MySoapHeader:SoapHeader
{
    public MySoapHeader()
    {
        //
        //TODO: 在此处添加构造函数逻辑
        //
    }
    public string UserName;
    public string PassWord;
    public bool ValideUser(string in_UserName, string in_PassWord)  
    {
        if ((in_UserName == "zxq") && (in_PassWord == "123456"))
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}

2.下面我们创建WebService.asmx,WebService.cs代码如下:

using System;
using System.Collections;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
/// <summary>
///WebService 的摘要说明
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebService : WebService
{
    public WebService()
    {
        //如果使用设计的组件,请取消注释以下行 
        //InitializeComponent(); 
    }
    public MySoapHeader header; ////定义用户身份验证类变量header
    [WebMethod(Description = "用户验证测试")]
    [SoapHeader("header")]//用户身份验证的soap头 
    public string HelloWorld(string contents)
    {
        //验证是否有权访问 
        if (header.ValideUser(header.UserName, header.PassWord))
        {
            return contents + "执行了";
        }
        else
        {
            return "您没有权限访问";
        }
    }
}

3.客户端,创建个Default.aspx

using System;
using System.Configuration;
using System.Data;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;

public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
        com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改成您自己的)
        com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用创建soap头对象(改成您自己的)
        //设置soap头变量
        Header.UserName = "zxq";
        Header.PassWord = "123456";
        test.MySoapHeaderValue = Header;
        //调用web 方法
        Response.Write(test.HelloWorld("我是强"));
    }
}

四、通过集成windows身份验证
  1、将web服务程序设为集成windows身份验证  
  2、客户端web引用代码

Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service实例 
wr.Credentials = new NetworkCredential("guest","123"); //guest是用户名,该用户需要有一定的权限 
lblTest.Text = wr.Add(2,2).ToString(); //调用web service方法

  该方案的优点是比较安全,性能较好,缺点是不便于移植,部署工作量大。

时间: 2024-07-29 00:45:46

WebService 之 身份验证的相关文章

android下身份验证方式调用webservice

在企业开发领域,webservice还是经常被用到的服务体系,因为他对安全事务支持都比较好. 有时候,我们就需要在android下调用后端的webservice服务,因为在内部网络环境下,所有需要basic身份验证. 一般情况下,我们会用soap包来访问,但是soap包虽然封装的比较好,但是一旦出错很难找到原因.下面我们介绍一种简单的方式,通过http client post来访问webservice; 首先,我们把soap请求拼装成xml字符串,如下: String soapRequestDa

使用AXIS调用需要身份验证的WebService

使用AXIS调用WebService的方法请参见我另一篇博文Java调用WebService的方法总结,这里只记叙使用axis验证身份. 1.验证信息通过请求报文头传递 我遇到的情况是访问WebService需要进行Windows身份验证,做法是将用户名和密码信息加密后通过添加“Authorization”请求报文头发送,所以实现的Java代码如下: /* * Create new Service and Call objects. These are the standard * JAX-RP

使用SoapUI测试windows身份验证的webservice

有个朋友问到用soapui测试wcf服务时如果使用windows身份验证要怎么传输凭据,于是自己试了一下.其实服务端是wcf还是webservice还是webapi都无所谓,关键是windows身份验证的凭据在哪里设置.手头上恰好有一个使用windows身份验证的站点,在浏览器上访问成功时,大约是这样子的页面: 然后在soapui里建一个工程访问一下,返回结果是这样的: 然而在凭证设置面板上并没有看到NTLM类型.找了一下资料,这贴帖子上已经有人回复了: https://stackoverflo

Web Service身份验证

Web Service是政府,企业,个人提供的在线应用服务,其他公司.软件都能通过Internet来访问并使用服务.针对于有些公司某些数据只允许授权的企业或人使用,所以我们需要进行身份验证 第一种方式:在Web Service引入SoapHeader 1.如下图,我们实现一个用于实现身份验证的类MySoapHeader,定义两个成员变量(UserName和Password),定义函数ValideUser用来检测使用服务的程序的Soap标头的数据是否被授权使用服务 //实现一个用来验证身份的类 p

C#调用Web Service时的身份验证

在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑以下问题:怎么防止别人访问我的WebService?从哪里引用我的WebService?对于第一个问题,就涉及到了WebService是安全问题,因为我们提供的WebService不是允许所有人能引用 的,可能只允许本公司或者是通过授权的人才能使用的.那怎么防止非法用户访问呢?很容易想到通过一组用户名与密码来防止非法用户的调用 .       在System.Net中提供了一个NetworkCredent

为MongoDB添加身份验证

MongoDB 默认没有开户身份验证,除非不开放外网访问,否则这种模式极不安全,现纪录添加身份验证步骤如下: 配置创建用户的时候,需要关闭: #security:##副本集之间通信用到的认证文件# keyFile: /home/soft/mongodb-linux-x86_64-rhel62-3.4.2-shard2/mongo-key# clusterAuthMode: "keyFile"##开启身份验证# authorization: "enabled" 因为你

启动 WLS 时的身份验证错误(解决linux下问题)

故障排除请注意,并非下面所有任务都需要完成.有些问题仅通过执行几项任务就可以解决. 快速链接 为什么发生此问题? 启动身份无效(WLS 7.0 和 WLS 8.1) 内嵌的 LDAP:丢失管理密码(WLS 7.0 和 WLS 8.1) 内嵌的 LDAP:更改管理密码后被管服务器不启动(WLS 7.0 和 WLS 8.1) WebLogic 服务器与 LDAP 服务器连接失败(WLS 7.0 和 WLS 8.1) LDAP 服务器:连接错误(WLS 7.0 和 WLS 8.1) LDAP 服务器:

启用和配置Office 365多重身份验证

有朋友问我,Office 365的账户安全性如何?如果别人知道我的账号和密码,那不就随时可以访问我的Office 365.其实Office 365里面有个多重身份验证. 什么是多重身份验证,以及它是如何工作的? 多重身份验证 (MFA) 或双重身份验证 (2FA) 是一种身份验证方法,该方法需要使用多种验证方式,并可为用户登录和交易添加另一道关键保护屏障. 该方法需要使用下列验证方式中的任意两种或更多种来发挥作用: 您知道的信息(通常为密码) 您拥有的东西(不易被复制的受信任设备,如电话) 您的

基于Token的身份验证——JWT(转)

本文转自:http://www.cnblogs.com/zjutzz/p/5790180.html 感谢作者 初次了解JWT,很基础,高手勿喷.基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session. JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为: A.B.C A由JWT头部信息header加密得到B由JWT用到的身份验证信息json数据加密得到C由A和B加密得到,是校验部分 怎样生成A? header格式为: { "typ