?? ?(本文整理自CSDN讨论帖http://bbs.csdn.net/topics/330212903)
第一种方案:使用HTTPS,这个不再详述,读者自查?
第二种方案整理如下: 综述:?WebService访问API是公开的,知道其URL者均可以研究与调用。那么,在只允许注册用户的WebService应用中,如何确保API访问和通信的安全性呢?本文所指的访问与通信安全性包括:
(1)???访问安全性:当前访问者是注册合法用户。 (2)????通信安全性:客户端与服务器之间的消息即使被第三方窃取也不能解密。
0基本思路:
(1)注册用户登录时使用RSA加密,Web?API调用参数使用DES加密(速度快),Web?API调用中包含一个身份票据Ticket;2)Web服务器保存当前Ticket的Session,包括:Ticket、DES加密矢量、注册用户基本信息。
1?WebService身份验证
????确保注册用户的访问安全,需要如下步骤:1)产生一个当前客户端机器票据(Ticket);2)请求服务器RSA公钥(RSAPublicKey);3)使用RSA加密登录口令及发布DES加密矢量(DESCipherVector)。
1.1??产生客户端机器票据Ticket
????一般而言,可以由客户端机器根据自己的MAC、CPU序列号等唯一标识产生一个本机器的Ticket字符串票据,其目的是:唯一标识当前客户端,防止其它机器模仿本客户端行为。
1.2??请求服务器公钥RSAPublicKey
????客户端携带票据Ticket向服务器请求RSA公钥RSAPublicKey。在服务器端,一般采取如下策略产生RSA加密钥匙:
??? Application_Start时产生一个1024或更长的RSA加密钥匙对。如果服务器需要长久运行,那么Application_Start产生的RSA可能被破解,替代方案是在当前Session_Start时产生RSA加密钥匙对。
????保存当前票据对应的客户帐号对象,即:Session[Ticket]?=?AccountObject,在确认身份后在填写AccountObject具体内容:帐号、RSA加密钥匙对、DES加密矢量
完成上述步骤后,服务器将RSAPublicKey传回给客户端。
1.3??加密登录口令及
????客户端获得RSAPulbicKey后,产生自己的DESCipherVector(至少要8位及以上,该加密矢量用于以后的常规通信消息加密,因为其速度比RSA快)。接着,客户端使用RSAPublicKey加密登录帐号、口令及DESCipherVector,连同Ticket,发送到服务器并请求身份验证。登录API格式如下:
??? ???public?void?Login(string?Ticket,?string?cipherLongID,?string?cipherPassword);
????如果验证成功,服务器将当前帐号信息、RSA钥匙、DESCipherVector等保存到会话Session[Ticket]中。
2?WebService通信安全性
2.1??加密WebService?API参数
???身份确认后,在客户端调用的WebService?API中,必须包括参数Ticket,其它参数则均使用DESCipherVector加密。服务器端返回的消息也同样处理。例如,提交一个修改email的函数定义为:
?? ??????????public?void?ModifyEmail(string?Ticket,?string?cipherEmai);
2.2??客户端解密消息
????客户端接收到服务器返回消息后,先做解密操作,如果成功则进入下步处理。否则抛出加密信息异常。
2.3??服务器端解密消息
????服务器接收到客户提交的API请求后,首先验证Ticket的合法性,即查找Session中是否有该票据以验证客户身份。然后,解密调用参数。如果成功则进入下不操作,否则返回操作异常消息给客户端。
需要指出,如果第三方截获全部会话消息,并保留其Ticket,此时服务器端仍然认可这个第三方消息。但是,第三方不能浏览,也不能修改调用API的参数内容,此时解密参数时将抛出异常。
上面探讨了一个基于加密的WebService访问与通信安全方法,即使第三方获取消息,不能查看原始内容,也不能修改内容,保证了WebService?API的安全性。