Delphi实现WebService带身份认证的数据传输

Delphi实现WebService带身份认证的数据传输

WebService使得不一样开发工具开发出来的程序能够在网络连通的环境下相互通讯，它最大的特色就是标准化（基于XML的一系列标准）带来的跨平台、跨开发工具的通用性，基于HTTP带来的畅通无阻的能力（跨越防火墙）。   WebService 给咱们的软件开发带来了诸多好处，可是有一点仍是必需要考虑到的，那就是安全问题。提供Service的一方要控制用户的限制访问，就要对来访的用户进行   身份验证。验证成功则继续提供服务，不然就触发无权访问的异常，返回给客户。那么如今咱们要解决的问题是这样的：用户的身份认证信息如何在调用主要服务前 发送到服务方，从而进行验证？   在WebService中，用户身份认证信息能够在客户端经过soap头(soap header)进行传送。在 WebService服务端的编写中，须要对soap头进行处理，这个处理过程就是提取Soap Header中的用户认证信息进行验证。下面就来看看在 Delphi中这个身份认证是如何实现的。     1、   自定义的Header类   你须要定义一个用来存放认证信息的类，这个类继承于TSoapHeader。   TAuthHeader = class(TSOAPHeader)   private   FUserName: WideString;   FPassWord: WideString;   published   property UserName: WideString read FUserName write FUserName;   property PassWord: WideString read FPassWord write FPassWord;   end;   这个类包含了用户名和密码两个属性，固然你能够根据状况增长更多的信息。   再说一下这个类是在哪定义的，它是定义在服务端的接口声明单元。服务发布之后，生成的WSDL中会有这个类的定义，这样在客户端用WSDL Importer导入接口单元的时候，这个类也会自动生成，固然你还要在服务端对这个类进行注册：   InvRegistry.RegisterHeaderClass(TypeInfo(ISoapAuth), TAuthHeader);   RemClassRegistry.RegisterXSClass(TAuthHeader);   ISoapAuth是服务端提供的服务接口。     2、   客户端发送Header   咱们还假设ISoapAuth是服务端提供的服务接口，它提供了GetInfo()这么一个服务。   客户端程序片断：   procedure TClientForm.GetInfoButtonClick(Sender: TObject);   var   aIntf: ISoapAuth;   Headers: ISOAPHeaders;   H: TAuthHeader;   Begin   aIntf := (HTTPRio as ISoapAuth);   H := TAuthHeader.Create;   H.UserName := ‘piao’ ; //这里只是举个例子   H.PassWord := ‘840717’;    Try   Headers := (aIntf as ISOAPHeaders);   Headers.Send(H); //发送Soap Header   aIntf.GetInfo; //调用服务   finally   aIntf := nil;   H.Free;   End;   end;   客户端的工做就是这些了，可否调用服务还要看服务端的处理结果了。     3、   服务端接收处理Header   服务端程序片断：   function TSoapAuth.GetServerInfo: WideString;   var   Headers: ISoapHeaders;   H: TAuthHeader;   begin   Headers := Self as ISoapHeaders;   Headers.Get(TAuthHeader, TSoapHeader(H)); //先获取SoapHeader   try       if H = nil then //SoapHeader 为空         raise ERemotableException.Create('No authentication header')       else         if not CheckUser(H.UserName, H.PassWord) then   //验证失败           raise ERemotableException.Create('No acess to call on service!');   finally       H.Free;   end;   Result := 'Hello World!';   end;   以上，TSoapAuth是继承于TInvokableClass 实现 ISoapAuth 的类。   CheckUser()是用来验证用户是否具备访问权限的函数，在服务端定义。   这只是个简单的返回字符串的服务。       4、   对访问WebService的用户的状态的探讨   事 实上客户端在每次调用服务端的服务接口时会从新生成一个对象，发送请求，而后接收返回结果，整个调用过程结束后这个对象就被释放。因此能够说 WebService是个无状态的对象，也就不存在用户是否登录的说法。这样的结果使得咱们每次调用服务时就必须作一次用户认证（这个认证多是查询数据   库比对），是比较浪费时间和资源的。   若是必定要在服务端保存用户的登录状态，那么能够在服务端加一个LogIn()的函数。当用户第一次访问服务   时，调用LogIn()记录下用户的状态信息，而且赋给这个用户在一段时间内无限制（是指没必要通过CheckUser这个过程）访问服务的权限，当这段时 间事后，用户的登录状态被释放掉，必须从新登录才能继续调用服务。   至于这个用户状态信息如何在服务端保存，就可能有几种方法了。一是用文件形式保存（xml或ini），二是数据库保存，三是用程序中的变量保存（能够在程序中定义一个UserList的变量来记录用户的状态信息）。