在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑以下问题:怎么防止别人访问我的WebService?从哪里引用我的WebService?对于第一个问题,就涉及到了WebService是安全问题,因为我们提供的WebService不是允许所有人能引用 的,可能只允许本公司或者是通过授权的人才能使用的。那怎么防止非法用户访问呢?很容易想到通过一组用户名与密码来防止非法用户的调用 。 Code /**//// <summary> /// 服务器网络凭证 /// </summary> /// <returns></returns> public static NetworkCredential MyCred() { string loginUser = Properties.Settings.Default.UserName;//用户名 string loginPSW = Properties.Settings.Default.UserPSW;//密码 string loginHost = Properties.Settings.Default.HostName;//主机名,可以是IP地址,也可以服务器名称 NetworkCredential myCred = new NetworkCredential(loginUser,loginPSW, loginHost); //NetworkCredential myCred = new NetworkCredential("username", "123456", "yourip");//"username", "123456", "yourservername" return myCred; } /**//// <summary> /// 验证是否成功连接到服务器,若连接成功,则返回TRUE /// </summary> /// <param name="url">服务器WebService URL</param> /// <returns></returns> public static bool Credential(string url) { //定义局部变量 string url = G_Url;//2009-02-25 陈辉聪 服务器验证只验证到机器 try { if (myWebResponse == null) { WebRequest myWebRequest = WebRequest.Create(url);//根据URL创建一个连接请求 myWebRequest.Credentials = MyCred();//获取验证的凭证,这是最重要的一句 myWebRequest.Timeout = 20000;//单位为毫秒 myWebResponse = myWebRequest.GetResponse();//返回连接成功时的信息 } } catch (WebException wex)//无法连接到服务器,可能是因为服务器错误或用户名与密码错误 { if (myWebResponse != null)//毁销 { myWebResponse.Close(); myWebResponse = null; } return false; } catch (Exception ex) { if (myWebResponse != null) { myWebResponse.Close(); myWebResponse = null; } return false; } finally { } return true; } private static WS_Webasic.WS_Webasic webasic =null;//实现华WS_Webasic.WS_Webasic /**//// <summary> /// WS_Webasic初始化 /// </summary> public static WS_Webasic.WS_Webasic WS_Webasic { get { if (webasic == null)//若webasic 为空,则重新实例化,这样可以减少验证的时间,提高效率 { //webasic = new ZEDI.WS_Webasic.WS_Webasic(); //wsBool = Credential(webasic.Url);//URL改为服务器地址 2009-02-25 陈辉聪 [email protected] wsBool = Credential(G_Url); if (wsBool == true) //服务器连接验证通过 { webasic = new WS_Webasic.WS_Webasic();//实例化 webasic.Credentials = MyCred();//得到服务器连接凭证,这样该WebService可以放心的连接了 } } return webasic; } } 注: 二、 第二、在第一种方法的基础上对WebService里的方法进行加密,这里面方法很多,下面提供一种比较常用的方法。在调用方法时多提供二个参数用户加密解密用(当然了提供几个参数看自己的需要而定)。比如有个WebService方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);如果只提供一个参数,则很容易被别人访问调用,从而顾客资料很容易被别人获取,因此我们对这个方法进行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);这样,只有提供正确的scustID与ecustID这二个参数才能成功调用这个方法,而对于这二个参数scustID与ecustID,则可以通过加密方法生成一个字符串,如scustID='C39134558',ecustID='C39223525',只有这二个参数满足一定的条件时才算验证通过,而对于参数来说,我们也可以提供一个验证,如果scustID里的值C39134558,前面三位必须是C39,紧跟5位13455则相加后的值18进行位操作如,对值18加一个因子,如1,则出现以下的运行:(18+1)%11==8,这样只有最后一位为8才算这个参数值是符合要求的,所以随便输入一个参数如:C39134556,则因为不符合要求,所以验证不能通过。在这里即使二个参数scustID='C39134558',ecustID='C39223525'都对了,则还需要通过这二个参数的进一步的验证才能算成功。至于这二个满足什么要求,一种是可以采用现有的加密机制,也可以自己写一个加密类来袜。 上面只是举一个简单的例子。 通过上面的二个步骤,则可以实现比较安全的WebService调用了。当然方法很多,上面只是小弟的一些经验而已,如果博友还有更好的方法,不吝赐教。
解决方案一:通过通过SOAP Header身份验证。 using System; using System.Data; using System.Configuration; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web.UI.HtmlControls; using System.Web.UI.WebControls; using System.Web.UI.WebControls.WebParts; using System.Web.Services; using System.Web.Services.Protocols; /// <summary> ///MySoapHeader 的摘要说明 /// </summary> public class MySoapHeader:SoapHeader { public MySoapHeader() { // //TODO: 在此处添加构造函数逻辑 // } public string UserName; public string PassWord; public bool ValideUser(string in_UserName, string in_PassWord) { if ((in_UserName == "zxq") && (in_PassWord == "123456")) { return true; } else { return false; } } } 2.下面我们创建WebService.asmx WebService.cs代码如下: using System; using System.Collections; using System.Web; using System.Web.Services; using System.Web.Services.Protocols; /// <summary> ///WebService 的摘要说明 /// </summary> [WebService(Namespace = "http://tempuri.org/")] [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)] public class WebService : System.Web.Services.WebService { public WebService() { //如果使用设计的组件,请取消注释以下行 //InitializeComponent(); } public MySoapHeader header; ////定义用户身份验证类变量header [WebMethod(Description = "用户验证测试")] [System.Web.Services.Protocols.SoapHeader("header")]//用户身份验证的soap头 public string HelloWorld(string contents) { //验证是否有权访问 if (header.ValideUser(header.UserName, header.PassWord)) { return contents + "执行了"; } else { return "您没有权限访问"; } } } 3.客户端 创建个Default.aspx Default.aspx .cs代码 using System; using System.Configuration; using System.Data; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web.UI.HtmlControls; using System.Web.UI.WebControls; using System.Web.UI.WebControls.WebParts; public partial class _Default : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改成您自己的) com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用创建soap头对象(改成您自己的) //设置soap头变量 Header.UserName = "zxq"; Header.PassWord = "123456"; test.MySoapHeaderValue = Header; //调用web 方法 Response.Write(test.HelloWorld("我是强")); } } 解决方案二:通过集成windows身份验证。 1. 将web服务程序设为集成windows身份验证
该方案的优点是比较安全,性能较好,缺点是不便于移植,部署工作量大。
http://www.cnblogs.com/chhuic/archive/2009/11/19/1606109.htmlC#调用Web Service时的身份验证http://www.cnblogs.com/chhuic/archive/2009/09/28/1576050.html |
请发表评论