在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑到了WebService是安全问题,很容易想到通过一组用户名与密码来防止非法用户的调用 。

一、NetworkCredential方式
  在 System.Net 命名空间中提供了一个NetworkCredential,通过它我们可以在网络中提供一个凭证,只有获得该凭证的用户才能访问相应的服务的权限。在NetworkCredential 中,我们通过提供WebService发布所在的服务器名称,以及登录服务器并调用该WebService的用户名及密码(在IIS中配置)。
  在调用WebService时设置其Credential属性,把上面得到的Credential凭证赋值给它,这样只有使用提供的用户名及密码才能调用WebService服务了而其他用户则无法访问,这样就能能满足防止WebService被别人调用了。
  至于主机名,用户名及密码,对于B/S可以通过webconfig来配置;对于C/S可以使用应用程序配置文件。如下以C/S为例来说明,首先我们提供一个服务器网络凭证,然后通过WebRequest来验证连接是否成功。当然了,为了保存用户名与密码等的安全,可以对其进行加密等手段来保证其安全。

        /// <summary>

        /// 服务器网络凭证

        /// </summary>

        /// <returns></returns>

        public static NetworkCredential MyCred()

        {

            string loginUser = Properties.Settings.Default.UserName;//用户名

            string loginPSW = Properties.Settings.Default.UserPSW;//密码

            string loginHost = Properties.Settings.Default.HostName;//主机名,可以是IP地址,也可以服务器名称

            NetworkCredential myCred = new NetworkCredential(loginUser, loginPSW, loginHost);

            //NetworkCredential myCred = new NetworkCredential("username", "123456", "yourip");//"username", "123456", "yourservername"

            return myCred;

        }

        /// <summary>

        /// 验证是否成功连接到服务器,若连接成功,则返回TRUE

        /// </summary>

        /// <param name="url">服务器WebService URL</param>

        /// <returns></returns>

        public static bool Credential(string url)

        {

            //定义局部变量

            string url = G_Url; //服务器验证只验证到机器

            try

            {

                if (myWebResponse == null)

                {

                    WebRequest myWebRequest = WebRequest.Create(url);//根据URL创建一个连接请求

                    myWebRequest.Credentials = MyCred();//获取验证的凭证,这是最重要的一句

                    myWebRequest.Timeout = ;//单位为毫秒

                    myWebResponse = myWebRequest.GetResponse();//返回连接成功时的信息

                }

            }

            catch (WebException wex)//无法连接到服务器,可能是因为服务器错误或用户名与密码错误

            {

                if (myWebResponse != null)//毁销

                {

                    myWebResponse.Close();

                    myWebResponse = null;

                }

                return false;

            }

            catch (Exception ex)

            {

                if (myWebResponse != null)

                {

                    myWebResponse.Close();

                    myWebResponse = null;

                }

                return false;

            }

            finally

            {

            }

            return true;

        }

        private static WS_Webasic.WS_Webasic webasic = null;//实现华WS_Webasic.WS_Webasic 

        /// <summary>

        /// WS_Webasic初始化

        /// </summary>

        public static WS_Webasic.WS_Webasic WS_Webasic

        {

            get

            {

                if (webasic == null)//若webasic 为空,则重新实例化,这样可以减少验证的时间,提高效率

                {

                    //webasic = new ZEDI.WS_Webasic.WS_Webasic();

                    //wsBool = Credential(webasic.Url);//URL改为服务器地址 2009-02-25 陈辉聪 chhuic@163.com

                    wsBool = Credential(G_Url);

                    if (wsBool == true)  //服务器连接验证通过

                    {

                        webasic = new WS_Webasic.WS_Webasic();//实例化

                        webasic.Credentials = MyCred();//得到服务器连接凭证,这样该WebService可以放心的连接了

                    }

                }

                return webasic;

            }

        }

注:
(1)必须引用 System.Net;
(2)对WebService发访问,在IIS里取消匿名访问权限,若允许匿名访问,就没有必须提供验证凭证了。

二、

  在第一种方法的基础上对WebService里的方法进行加密,这里面方法很多,下面提供一种比较常用的方法。在调用方法时多提供两个参数用户加密解密用(当然了提供几个参数看自己的需要而定)。比如有个WebService方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);如果只提供一个参数,则很容易被别人访问调用,从而顾客资料很容易被别人获取,因此我们对这个方法进行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);这样,只有提供正确的scustID与ecustID这二个参数才能成功调用这个方法,而对于这二个参数scustID与ecustID,则可以通过加密方法生成一个字符串,如scustID='C39134558',ecustID='C39223525',只有这二个参数满足一定的条件时才算验证通过,而对于参数来说,我们也可以提供一个验证,如果scustID里的值C39134558,前面三位必须是C39,紧跟5位13455则相加后的值18进行位操作如,对值18加一个因子,如1,则出现以下的运行:(18+1)%11==8,这样只有最后一位为8才算这个参数值是符合要求的,所以随便输入一个参数如:C39134556,则因为不符合要求,所以验证不能通过。在这里即使二个参数scustID='C39134558',ecustID='C39223525'都对了,则还需要通过这二个参数的进一步的验证才能算成功。至于这二个满足什么要求,一种是可以采用现有的加密机制,也可以自己写一个加密类来袜。 上面只是举一个简单的例子。

通过上面的二个步骤,则可以实现比较安全的WebService调用了。

三、通过通过SOAP Header身份验证
  1、我们实现一个用于身份验证的类,文件名MySoapHeader.cs 
  MySoapHeader类继承自System.Web.Services.Protocols.SoapHeader。且定义了两个成员变量,UserName和PassWord,还定义了一个用户认证的函数ValideUser。它提供了对UserName和PassWord检查的功能。

using System.Web.Services;

using System.Web.Services.Protocols;

/// <summary>

///MySoapHeader 的摘要说明

/// </summary>

public class MySoapHeader:SoapHeader

{

    public MySoapHeader()

    {

        //

        //TODO: 在此处添加构造函数逻辑

        //

    }

    public string UserName;

    public string PassWord;

    public bool ValideUser(string in_UserName, string in_PassWord)  

    {

        if ((in_UserName == "zxq") && (in_PassWord == ""))

        {

            return true;

        }

        else

        {

            return false;

        }

    }

}

2.下面我们创建WebService.asmx,WebService.cs代码如下:

using System;

using System.Collections;

using System.Web;

using System.Web.Services;

using System.Web.Services.Protocols;

/// <summary>

///WebService 的摘要说明

/// </summary>

[WebService(Namespace = "http://tempuri.org/")]

[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]

public class WebService : WebService

{

    public WebService()

    {

        //如果使用设计的组件,请取消注释以下行 

        //InitializeComponent(); 

    }

    public MySoapHeader header; ////定义用户身份验证类变量header

    [WebMethod(Description = "用户验证测试")]

    [SoapHeader("header")]//用户身份验证的soap头 

    public string HelloWorld(string contents)

    {

        //验证是否有权访问 

        if (header.ValideUser(header.UserName, header.PassWord))

        {

            return contents + "执行了";

        }

        else

        {

            return "您没有权限访问";

        }

    }

}

3.客户端,创建个Default.aspx

using System;

using System.Configuration;

using System.Data;

using System.Web;

using System.Web.Security;

using System.Web.UI;

using System.Web.UI.HtmlControls;

using System.Web.UI.WebControls;

using System.Web.UI.WebControls.WebParts;

public partial class _Default : System.Web.UI.Page 

{

    protected void Page_Load(object sender, EventArgs e)

    {

        com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改成您自己的)

        com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用创建soap头对象(改成您自己的)

        //设置soap头变量

        Header.UserName = "zxq";

        Header.PassWord = "";

        test.MySoapHeaderValue = Header;

        //调用web 方法

        Response.Write(test.HelloWorld("我是强"));

    }

}

四、通过集成windows身份验证

  使用 NTML 或 Kerberos 对客户端进行身份验证。
  1、将web服务程序设为集成windows身份验证  
  2、客户端web引用代码

Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service实例 

wr.Credentials = new NetworkCredential("guest",""); //guest是用户名,该用户需要有一定的权限 

lblTest.Text = wr.Add(,).ToString(); //调用web service方法

  该方案的优点是比较安全,性能较好,缺点是不便于移植,部署工作量大。

WebService 之 身份验证的更多相关文章

  1. 调用webservice进行身份验证

    因为同事说在调用webservice的时候会弹出身份验证的窗口,直接调用会返回401,原因是站点部署的时候设置了身份验证(账号名称自己配置).因而在调用的时候需要加入身份验证的凭证. 至于如何获取身份 ...

  2. 为WebService添加身份验证的两种方法

    方法一:SoapHeader 辅助类:MySoapHeader //SoapHeader 添加引用 using System.Web.Services.Protocols; #region 配置登录标 ...

  3. ASP.NET中WebService的两种身份验证方法

    一.通过SOAP Header身份验证 此方法是通过设置SOAP Header信息来验证身份,主要通过以下几步: 1.在服务端实现一个SOAP Header类 public class Credent ...

  4. webservice安全性之 SoapHeader自定义身份验证

    相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了. 首先我们来介绍webservic ...

  5. android下身份验证方式调用webservice

    在企业开发领域,webservice还是经常被用到的服务体系,因为他对安全事务支持都比较好. 有时候,我们就需要在android下调用后端的webservice服务,因为在内部网络环境下,所有需要ba ...

  6. webservice常用两种身份验证方式

    在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑以下问题:怎么防止别人访问我的WebService?从哪里引用我的WebService?对于第一个问题,就涉 ...

  7. 使用SoapUI测试windows身份验证的webservice

    有个朋友问到用soapui测试wcf服务时如果使用windows身份验证要怎么传输凭据,于是自己试了一下.其实服务端是wcf还是webservice还是webapi都无所谓,关键是windows身份验 ...

  8. WebService基于soapheader的身份验证

    用WebService开发接口十分方便.但接口提供的数据不应是对所有人可见的,我们来利用SoapHeader写一个简单的身份验证Demo 目录 创建WebService项目(带SoapHeader) ...

  9. c# winform访问 带有windows身份验证的webservice

    1 将webservice设置为windows身份验证iis10中,要确认已安装windows身份验证在 控制面板 - >打开或关闭Windows功能 - >万维网服务 - >安全性 ...

随机推荐

  1. Subsets LeetCode总结

    Subsets 题目 Given a set of distinct integers, nums, return all possible subsets. Note: The solution s ...

  2. BZOJ 1012: [JSOI2008]最大数maxnumber 单调队列/线段树/树状数组/乱搞

    1012: [JSOI2008]最大数maxnumber Time Limit: 3 Sec  Memory Limit: 162 MBSubmit: 4750  Solved: 2145[Submi ...

  3. Spring Batch 批处理框架介绍

    前言 在大型的企业应用中,或多或少都会存在大量的任务需要处理,如邮件批量通知所有将要过期的会员,日终更新订单信息等.而在批量处理任务的过程中,又需要注意很多细节,如任务异常.性能瓶颈等等.那么,使用一 ...

  4. SecureCRT 如何改变对话框--每行输入字符数的多少

    通过设置Logical columns的大小,选中Retain size an font来改变每行输入字符数的多少 1.设置Session Options–>Terminal–>Emula ...

  5. shell中set的用法(转)

    使用set命令可以设置各种shell选项或者列出shell变量.单个选项设置常用的特性. 在某些选项之后-o参数将特殊特性打开.在某些选项之后使用+o参数将关闭某些特性, 不带任何参数的set命令将显 ...

  6. C语言每日小练(四)——勇者斗恶龙

    勇者斗恶龙 你的王国里有一条n个头的恶龙,你希望雇佣一些骑士把它杀死(砍掉全部的头). 村里有m个骑士能够雇佣.一个能力值为x的骑士能够砍掉恶龙一个致敬不超过x的头,且须要支付x个金币. 怎样雇佣骑士 ...

  7. 用Qemu模拟vexpress-a9 (一) --- 搭建Linux kernel调试环境

    参考: http://blog.csdn.net/linyt/article/details/42504975 环境介绍: Win7 64 + Vmware 11 + ubuntu14.04 32 u ...

  8. jQuery碎语(1) 基础、选择要操作的元素、处理DOM元素

    1.基础 jquery对象集: $():jquery对象集合 获取jquery对象集中的元素: 使用索引获取包装器中的javascript元素:var temp = $('img[alt]')[0] ...

  9. 【docker】linux系统centOS 7上安装docker

    要求: 一个centOS 7系统  虚拟就上安装CentOS 7步骤 本文操作在本机上使用xshell连接虚拟机上的centOS 7进行操作 1.Docker 要求 CentOS 系统的内核版本高于 ...

  10. cocos2d-x 3.0 事件处理

    參考文章: star特530的CSDN博客:http://blog.csdn.net/star530/article/details/18325493 https://github.com/chuko ...