C#调用Web Service时的身份验证

一、

 

        在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑以下问题:怎么防止别人访问我的WebService?从哪里引用我的WebService?对于第一个问题,就涉及到了WebService是安全问题,因为我们提供的WebService不是允许所有人能引用 的,可能只允许本公司或者是通过授权的人才能使用的。那怎么防止非法用户访问呢?很容易想到通过一组用户名与密码来防止非法用户的调用 。
       在System.Net中提供了一个NetworkCredential,通过它我们可以在网络中提供一个凭证,只有获得该凭证的用户才能访问相应的服务的权限。在这里我们也使用NetworkCredential。在NetworkCredential中,我们通过提供WebService发布所在的服务器名称,以及登录服务器并调用该WebService的用户名及密码(在IIS中配置)。
在调用WebService时设置其Credential属性,把上面得到的Credential凭证赋值给它,这样只有使用提供的用户名及密码才能调用WebService服务了而其他用户则无法访问,这样就能能满足防止WebService被别人调用了。
       至于主机名,用户名及密码,对于B/S可以通过webconfig来配置,对于C/S可以使用应用程序配置文件。这样就能灵活地配置了。
如下以C/S为例来说明,首先我们提供一个服务器网络凭证,然后通过WebRequest来验证连接是否成功。当然了,为了保存用户名与密码等的安全,可以对其进行加密等手段来保证其安全。

以下是主要源代码:
        }
注:
(1)必须引用 System.Net;
(2)对WebService发访问,在IIS里取消匿名访问权限,若允许匿名访问,就没有必须提供验证凭证了。IIS里怎么取消匿名访问 权限请参照IIS相关文章,这里不在累赘。
验证是有时速度会比较慢,主要是因为myWebResponse = myWebRequest.GetResponse();

http://www.cnblogs.com/chhuic/archive/2009/09/28/1576050.html

 

二、

  第二、在第一种方法的基础上对WebService里的方法进行加密,这里面方法很多,下面提供一种比较常用的方法。在调用方法时多提供二个参数用户加密解密用(当然了提供几个参数看自己的需要而定)。比如有个WebService方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);如果只提供一个参数,则很容易被别人访问调用,从而顾客资料很容易被别人获取,因此我们对这个方法进行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);这样,只有提供正确的scustID与ecustID这二个参数才能成功调用这个方法,而对于这二个参数scustID与ecustID,则可以通过加密方法生成一个字符串,如scustID='C39134558',ecustID='C39223525',只有这二个参数满足一定的条件时才算验证通过,而对于参数来说,我们也可以提供一个验证,如果scustID里的值C39134558,前面三位必须是C39,紧跟5位13455则相加后的值18进行位操作如,对值18加一个因子,如1,则出现以下的运行:(18+1)%11==8,这样只有最后一位为8才算这个参数值是符合要求的,所以随便输入一个参数如:C39134556,则因为不符合要求,所以验证不能通过。在这里即使二个参数scustID='C39134558',ecustID='C39223525'都对了,则还需要通过这二个参数的进一步的验证才能算成功。至于这二个满足什么要求,一种是可以采用现有的加密机制,也可以自己写一个加密类来袜。 上面只是举一个简单的例子。

     通过上面的二个步骤,则可以实现比较安全的WebService调用了。当然方法很多,上面只是小弟的一些经验而已,如果博友还有更好的方法,不吝赐教。

http://www.cnblogs.com/chhuic/archive/2009/11/19/1606109.html

 

三、http://www.pin5i.com/showtopic-25187.html  http://www.pin5i.com/showtopic-15918.html

解决方案一:通过通过SOAP Header身份验证

1.我们实现一个用于身份验证的类,文件名MySoapHeader.cs

MySoapHeader类继承自System.Web.Services.Protocols.SoapHeader。且定义了两个成员变量,UserName和PassWord,还定义了一个用户认证的函数ValideUser。它提供了对UserName和PassWord检查的功能

  1. using System;
  2. using System.Data;
  3. using System.Configuration;
  4. using System.Web;
  5. using System.Web.Security;
  6. using System.Web.UI;
  7. using System.Web.UI.HtmlControls;
  8. using System.Web.UI.WebControls;
  9. using System.Web.UI.WebControls.WebParts;
  10. using System.Web.Services;
  11. using System.Web.Services.Protocols;
  12. /// <summary>
  13. ///MySoapHeader 的摘要说明
  14. /// </summary>
  15. public class MySoapHeader:SoapHeader
  16. {
  17.     public MySoapHeader()
  18.     {
  19.         //
  20.         //TODO: 在此处添加构造函数逻辑
  21.         //
  22.     }
  23.     public string UserName;
  24.     public string PassWord;
  25.     public bool ValideUser(string in_UserName, string in_PassWord) 
  26.     {
  27.         if ((in_UserName == "zxq") && (in_PassWord == "123456"))
  28.         {
  29.             return true;
  30.         }
  31.         else
  32.         {
  33.             return false;
  34.         }
  35.     }
  36. }

2.下面我们创建WebService.asmx    WebService.cs代码如下:

  1. using System;
  2. using System.Collections;
  3. using System.Web;
  4. using System.Web.Services;
  5. using System.Web.Services.Protocols;
  1. /// <summary>
  2. ///WebService 的摘要说明
  3. /// </summary>
  4. [WebService(Namespace = "http://tempuri.org/")]
  5. [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
  6. public class WebService : System.Web.Services.WebService
  7. {
        public WebService()
  8.     {
            //如果使用设计的组件,请取消注释以下行 
            //InitializeComponent(); 
        }
  1.     public MySoapHeader header; ////定义用户身份验证类变量header
  2.     [WebMethod(Description = "用户验证测试")]
  3.     [System.Web.Services.Protocols.SoapHeader("header")]//用户身份验证的soap头
  4.     public string HelloWorld(string contents)
  5.     {
  6.         //验证是否有权访问
  7.         if (header.ValideUser(header.UserName, header.PassWord))
  8.         {
  9.             return contents + "执行了";
  10.         }
  11.         else
  12.         {
  13.             return "您没有权限访问";
  14.         }
  15.     }
  16. }
复制代码

3.客户端 创建个Default.aspx

Default.aspx .cs代码

  1. using System;
  2. using System.Configuration;
  3. using System.Data;
  4. using System.Web;
  5. using System.Web.Security;
  6. using System.Web.UI;
  7. using System.Web.UI.HtmlControls;
  8. using System.Web.UI.WebControls;
  9. using System.Web.UI.WebControls.WebParts;

  11. public partial class _Default : System.Web.UI.Page
  12. {
  13.     protected void Page_Load(object sender, EventArgs e)
  14.     {
  15.         com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改成您自己的)
  16.         com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用创建soap头对象(改成您自己的)
  17.         //设置soap头变量
  18.         Header.UserName = "zxq";
  19.         Header.PassWord = "123456";
  20.         test.MySoapHeaderValue = Header;
  21.         //调用web 方法
  22.         Response.Write(test.HelloWorld("我是强"));
  23.     }
  24. }

解决方案二:通过集成windows身份验证。

1. 将web服务程序设为集成windows身份验证  
2.客户端web引用代码

  1. Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service实例
  2. wr.Credentials = new NetworkCredential("guest","123"); //guest是用户名,该用户需要有一定的权限
  3. lblTest.Text = wr.Add(2,2).ToString(); //调用web service方法

该方案的优点是比较安全性能较好,缺点是不便于移植,部署工作量大。(

相关文章:

猜你喜欢
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode