3
呼叫者我繼承了一個系統,該系統由一個WebMethod中的數據集的形式獲取數據。數據可能很敏感。讓我感到震驚的是,有些方法無法知道,或者檢查調用者是誰,還有一些方法需要整數來標識調用者。該整數從0開始並且是連續的並且與不同的公司/數據集相關聯。顯然不夠好。 (這是容易的,我通過猜測數字如何驗證與Web服務通信
我的問題是看我不應該有訪問數據,是否有認證呼叫者,完善這一系統
A
回答
3
什麼類型的服務是什麼?這些天,我會寫的WCF,並使用任何常規身份模型進行身份驗證(我通常使用TransportWithMessageCredential - 即正文中帶有用戶名/密碼的SSL)。然後你可以通過Principal(Thread.CurrentPrincipal.Identity.Name)查看身份。
對於SOAP服務,可以使用SOAP頭進行身份驗證,也可以包括身份信息的方法參數 - 無論是用戶名/密碼對或獨立的身份憑證,可解析得到認同。無論如何,您只應通過SSL等安全傳輸方式「按原樣」傳遞身份信息。還有其他技術不需要傳遞密碼,但它們更復雜(特別是涉及多個域等時)。 Kerberos或聯合安全性是選項。就個人而言,我把它簡單,因爲不是所有的客戶端可以使用聯合等 - 但大多數客戶端可以通過通過SSL進行用戶名/口令對。
0
的最佳實踐方法如果你有控制Web服務代碼,你可以修改它爲需要身份驗證或可能創建一個代理吧。
請仔細閱讀本article。
相關問題
- 1. 如何通過curl驗證web服務?
- 2. 如何與需要驗證的服務器通信?
- 3. 如何驗證服務器到服務器通信
- 4. 驗證Web服務
- 5. Web服務通信
- 6. 驗證XHTML代碼與validator.nu web服務
- 7. 與Web服務相互驗證
- 8. 驗證Web服務選項
- 9. Spring的web服務驗證
- 10. 驗證Web服務類型
- 11. XML驗證Web服務
- 12. 驗證web服務可用
- 13. Web服務身份驗證
- 14. 如何通過Web服務器驗證他的Gmail帳戶?
- 15. 與身份驗證服務器通話
- 16. Android - Web服務器通信
- 17. 如何實現通過SSL進行Web服務通信的Web服務?
- 18. 如何驗證服務器端Web服務的瀏覽器IP
- 19. 如何與JSON和Core Data中的Web服務進行通信?
- 20. 如何直接將Web服務與bot框架進行通信?
- 21. 與iPhone通信 - 互聯網 - .net Web服務/ php網絡服務
- 22. C#.net windows服務與遠程web服務進行通信
- 23. android如何與動態服務通信?
- 24. 驗證與威瑞信OCSP服務器證書
- 25. AIR SocketServer與基於Web的遠程Web服務器(javascript)通信Socket服務器
- 26. 將身份驗證信息發送到Web服務
- 27. 喚醒服務,與服務通信
- 28. 與Windows服務通信
- 29. Android與服務器通信
- 30. 與http服務器通信
如果你使用WCF,您還可以在加密敏感數據的許多選項。 – 2009-05-31 21:29:13