C#调用Web Service时的身份验证

时间  2019-11-13
标签 c# 调用 web service 身份 验证 栏目 C# 繁體版
原文   原文链接

 转载:http://www.cnblogs.com/wuhenke/archive/2009/12/07/1618932.htmlhtml

C#调用Web Service时的身份验证

 
        在项目开发,咱们常常会使用WebService,但在使用WebService时咱们常常会考虑如下问题:怎么防止别人访问个人WebService?从哪里引用个人WebService?对于第一个问题,就涉及到了WebService是安全问题,由于咱们提供的WebService不是容许全部人能引用 的,可能只容许本公司或者是经过受权的人才能使用的。那怎么防止非法用户访问呢?很容易想到经过一组用户名与密码来防止非法用户的调用 。
       在System.Net中提供了一个NetworkCredential,经过它咱们能够在网络中提供一个凭证,只有得到该凭证的用户才能访问相应的服务的权限。在这里咱们也使用NetworkCredential。在NetworkCredential中,咱们经过提供WebService发布所在的服务器名称,以及登陆服务器并调用该WebService的用户名及密码(在IIS中配置)。
在调用WebService时设置其Credential属性,把上面获得的Credential凭证赋值给它,这样只有使用提供的用户名及密码才能调用WebService服务了而其余用户则没法访问,这样就能能知足防止WebService被别人调用了。
       至于主机名,用户名及密码,对于B/S能够经过webconfig来配置,对于C/S可使用应用程序配置文件。这样就能灵活地配置了。
以下以C/S为例来讲明,首先咱们提供一个服务器网络凭证,而后经过WebRequest来验证链接是否成功。固然了,为了保存用户名与密码等的安全,能够对其进行加密等手段来保证其安全。

如下是主要源代码:
复制代码

 1        /// <summary>
 2        /// 服务器网络凭证
 3        /// </summary>
 4        /// <returns></returns>
 5        public static NetworkCredential MyCred()
 6        {
 7            string loginUser = Properties.Settings.Default.UserName;//用户名
 8            string loginPSW = Properties.Settings.Default.UserPSW;//密码
 9            string loginHost = Properties.Settings.Default.HostName;//主机名,能够是IP地址,也能够服务器名称
10            NetworkCredential myCred = new NetworkCredential(loginUser,loginPSW, loginHost);
11            //NetworkCredential myCred = new NetworkCredential("username", "123456", "yourip");//"username", "123456", "yourservername"
12            return myCred;
13        }
14        /// <summary>
15        /// 验证是否成功链接到服务器,若链接成功,则返回TRUE
16        /// </summary>
17        /// <param name="url">服务器WebService URL</param>
18        /// <returns></returns>
19        public static bool Credential(string url)
20        {
21           //定义局部变量
22           string url = G_Url;//2009-02-25 陈辉聪  服务器验证只验证到机器
23
24            try
25            {
26                if (myWebResponse == null)
27                {
28                    WebRequest myWebRequest = WebRequest.Create(url);//根据URL建立一个链接请求
29                    myWebRequest.Credentials = MyCred();//获取验证的凭证,这是最重要的一句
30                    myWebRequest.Timeout = 20000;//单位为毫秒
31
32                    myWebResponse = myWebRequest.GetResponse();//返回链接成功时的信息
33                }
34            }
35            catch (WebException wex)//没法链接到服务器,多是由于服务器错误或用户名与密码错误
36            {
37                if (myWebResponse != null)//毁销
38                {
39                    myWebResponse.Close();
40                    myWebResponse = null;
41                }
42
43                return false;
44            }
45            catch (Exception ex)
46            {
47                if (myWebResponse != null)
48                {
49                    myWebResponse.Close();
50                    myWebResponse = null;
51                }
52
53                return false;
54
55            }
56            finally
57            {
58            }
59
60            return true;
61        }
62
63       private static WS_Webasic.WS_Webasic webasic =null;//实现华WS_Webasic.WS_Webasic 
64
65        /// <summary>
66        /// WS_Webasic初始化
67        /// </summary>
68        public static WS_Webasic.WS_Webasic WS_Webasic
69        {
70            get
71            {
72                if (webasic == null)//若webasic 为空,则从新实例化,这样能够减小验证的时间,提升效率
73                {
74                    //webasic = new ZEDI.WS_Webasic.WS_Webasic();
75                    //wsBool = Credential(webasic.Url);//URL改成服务器地址 2009-02-25 陈辉聪 chhuic@163.com
76                    wsBool = Credential(G_Url); 
77                    if (wsBool == true)  //服务器链接验证经过
78                    {
79                        webasic = new WS_Webasic.WS_Webasic();//实例化
80                        webasic.Credentials = MyCred();//获得服务器链接凭证,这样该WebService能够放心的链接了
81                    }
82                }
83                return webasic;
84            }
85        }
复制代码
注:
(1)必须引用 System.Net;
(2)对WebService发访问,在IIS里取消匿名访问权限,若容许匿名访问,就没有必须提供验证凭证了。IIS里怎么取消匿名访问 权限请参照IIS相关文章,这里不在累赘。
验证是有时速度会比较慢,主要是由于myWebResponse = myWebRequest.GetResponse();

http://www.cnblogs.com/chhuic/archive/2009/09/28/1576050.htmlweb

 

2、数据库

  第2、在第一种方法的基础上对WebService里的方法进行加密,这里面方法不少,下面提供一种比较经常使用的方法。在调用方法时多提供二个参数用户加密解密用(固然了提供几个参数看本身的须要而定)。好比有个WebService方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);若是只提供一个参数,则很容易被别人访问调用,从而顾客资料很容易被别人获取,所以咱们对这个方法进行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);这样,只有提供正确的scustID与ecustID这二个参数才能成功调用这个方法,而对于这二个参数scustID与ecustID,则能够经过加密方法生成一个字符串,如scustID='C39134558',ecustID='C39223525',只有这二个参数知足必定的条件时才算验证经过,而对于参数来讲,咱们也能够提供一个验证,若是scustID里的值C39134558,前面三位必须是C39,紧跟5位13455则相加后的值18进行位操做如,对值18加一个因子,如1,则出现如下的运行:(18+1)%11==8,这样只有最后一位为8才算这个参数值是符合要求的,因此随便输入一个参数如:C39134556,则由于不符合要求,因此验证不能经过。在这里即便二个参数scustID='C39134558',ecustID='C39223525'都对了,则还须要经过这二个参数的进一步的验证才能算成功。至于这二个知足什么要求,一种是能够采用现有的加密机制,也能够本身写一个加密类来袜。 上面只是举一个简单的例子。windows

     经过上面的二个步骤,则能够实现比较安全的WebService调用了。固然方法不少,上面只是小弟的一些经验而已,若是博友还有更好的方法,不吝赐教。安全

http://www.cnblogs.com/chhuic/archive/2009/11/19/1606109.html服务器

 

3、http://www.pin5i.com/showtopic-25187.html  http://www.pin5i.com/showtopic-15918.html网络

解决方案一:经过经过SOAP Header身份验证。

1.咱们实现一个用于身份验证的类,文件名MySoapHeader.cs 

MySoapHeader类继承自System.Web.Services.Protocols.SoapHeader。且定义了两个成员变量,UserName和PassWord,还定义了一个用户认证的函数ValideUser。它提供了对UserName和PassWord检查的功能ide

  1. using System;
  2. using System.Data;
  3. using System.Configuration;
  4. using System.Web;
  5. using System.Web.Security;
  6. using System.Web.UI;
  7. using System.Web.UI.HtmlControls;
  8. using System.Web.UI.WebControls;
  9. using System.Web.UI.WebControls.WebParts;
  10. using System.Web.Services;
  11. using System.Web.Services.Protocols;
  12. /// <summary>
  13. ///MySoapHeader 的摘要说明
  14. /// </summary>
  15. public class MySoapHeader:SoapHeader
  16. {
  17.     public MySoapHeader()
  18.     {
  19.         //
  20.         //TODO: 在此处添加构造函数逻辑
  21.         //
  22.     }
  23.     public string UserName;
  24.     public string PassWord;
  25.     public bool ValideUser(string in_UserName, string in_PassWord)  
  26.     {
  27.         if ((in_UserName == "zxq") && (in_PassWord == "123456"))
  28.         {
  29.             return true;
  30.         }
  31.         else
  32.         {
  33.             return false;
  34.         }
  35.     }
  36. }

2.下面咱们建立WebService.asmx    WebService.cs代码以下:函数

  1. using System;
  2. using System.Collections;
  3. using System.Web;
  4. using System.Web.Services;
  5. using System.Web.Services.Protocols;
  1. /// <summary>
  2. ///WebService 的摘要说明
  3. /// </summary>
  4. [WebService(Namespace = "http://tempuri.org/")]
  5. [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
  6. public class WebService : System.Web.Services.WebService
  7. {
        public WebService()
  8.     {
            //若是使用设计的组件,请取消注释如下行 
            //InitializeComponent(); 
        }
  1.     public MySoapHeader header; ////定义用户身份验证类变量header
  2.     [WebMethod(Description = "用户验证测试")]
  3.     [System.Web.Services.Protocols.SoapHeader("header")]//用户身份验证的soap头 
  4.     public string HelloWorld(string contents)
  5.     {
  6.         //验证是否有权访问 
  7.         if (header.ValideUser(header.UserName, header.PassWord))
  8.         {
  9.             return contents + "执行了";
  10.         }
  11.         else
  12.         {
  13.             return "您没有权限访问";
  14.         }
  15.     }
  16. }

复制代码post

3.客户端 建立个Default.aspx 

Default.aspx .cs代码

  1. using System;
  2. using System.Configuration;
  3. using System.Data;
  4. using System.Web;
  5. using System.Web.Security;
  6. using System.Web.UI;
  7. using System.Web.UI.HtmlControls;
  8. using System.Web.UI.WebControls;
  9. using System.Web.UI.WebControls.WebParts;
  11. public partial class _Default : System.Web.UI.Page 
  12. {
  13.     protected void Page_Load(object sender, EventArgs e)
  14.     {
  15.         com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改为您本身的)
  16.         com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用建立soap头对象(改为您本身的)
  17.         //设置soap头变量
  18.         Header.UserName = "zxq";
  19.         Header.PassWord = "123456";
  20.         test.MySoapHeaderValue = Header;
  21.         //调用web 方法
  22.         Response.Write(test.HelloWorld("我是强"));
  23.     }
  24. }

解决方案二:经过集成windows身份验证。

1. 将web服务程序设为集成windows身份验证  
2.客户端web引用代码

  1. Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service实例 
  2. wr.Credentials = new NetworkCredential("guest","123"); //guest是用户名,该用户须要有必定的权限 
  3. lblTest.Text = wr.Add(2,2).ToString(); //调用web service方法

该方案的优势是比较安全,性能较好,缺点是不便于移植,部署工做量大。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程