我們正在尋求確保一堆ASP.Net 2.0 .asmx Web服務。將承載Web服務的內容已經通過了表單認證。
是否可以使用表單身份驗證來保護Web服務? 什麼是利弊和其他可能的方式來實現這一點。我們當然不希望在每個Web方法調用中傳遞用戶名/密碼或令牌。使用Forms Authentication可以保護Web服務嗎?
7
A
回答
5
表單身份驗證的事情是它爲人們設計的,其中Web服務被設計爲由客戶端應用程序使用。雖然可以像這樣進行認證,但這是錯誤的思維方式。
所需的安全級別顯然取決於您正在使用的數據的敏感性,但我會假設它至少有點敏感(但不及銀行交易)。你也許可以使用SSL並按照jle的建議傳遞用戶名和密碼,而我正在輸入這個密碼,或者你可能需要一個api密鑰,就像flickr一樣。
另一個更安全的選擇是隻傳遞一次用戶名和密碼(以及ssl的安全性),並給出有效期爲一段時間的令牌。這具有保護密碼信息的好處,並避免了ssl的不斷開銷。
正如前面提到的那樣,它高度依賴於您要保護的信息的敏感程度。
0
這是可能的,但您需要將用戶重定向到登錄頁面。另一個傳遞用戶名/密碼的選項是使用ssl上的Web服務。如果您加密連接,則可以使用基本身份驗證沒有問題。
0
你應該可以使用WSE來確保你的服務使用表單認證 - 雖然我個人從來沒有這樣做過。
下面是使用WSE一些資源:
- http://aleemkhan.wordpress.com/2007/09/18/using-wse-30-for-web-service-authentication/
- http://msdn.microsoft.com/en-us/library/aa480575.aspx
要不要使用WSE你需要實現這樣的事情,因爲一些其他presponders已經提到,但我不確定它會有多可靠:
2
WSE已過時。除非你沒有選擇,否則不要使用它。
幾乎WSE的所有功能都由WCF更好地實現。剩下的功能,那些沒有被WCF實現的功能本身已經過時了(例如DIME)。
相關問題
- 1. 保護Web服務
- 2. 保護Web服務
- 3. 保護Web服務
- 4. 使用OPENAM保護web服務
- 5. 使用oauth保護SOAP Web服務
- 6. 保護.net Web服務URL
- 7. 保護ASP.NET Web服務
- 8. 保護jQuery SPA web服務
- 9. 保護WCF ASP.NET web服務
- 10. 密碼保護Web服務
- 11. 從PHP解析XML web服務使用jQuery調用:'https'足以保護XML嗎?
- 12. 保護asp.net web服務以便從flash中使用
- 13. .Net Forms Authentication
- 14. Can Django可以用於Web服務嗎?
- 15. 在Oracle Forms中使用.NET Web服務
- 16. 我們可以在使用Forms Authentication的另一個應用程序中使用自己的Web.config和Forms Authentication部分創建應用程序嗎?
- 17. 您可以使用SoapUI測試證書保護的WCF服務嗎?
- 18. ASP.NET Forms Authentication without Redirect
- 19. Web服務可以返回流嗎?
- 20. 保護PHP XML Web服務AJAX
- 21. WCF服務可以像使用ASP.NET Web服務一樣使用嗎?
- 22. 保護Web服務:Asmx或WCF
- 23. 保護Web服務器中的資源
- 24. 如何在.net中保護web服務?
- 25. 如何保護debian nginx web服務器
- 26. ASP.Net Web服務,它可以嵌套嗎?
- 27. 通過SSL保護WCF Web服務
- 28. 通過SSL證書保護Web服務
- 29. 如何保護對Web服務的呼叫不可見
- 30. 如何保護.NET Web服務以供iPhone應用程序使用?