WebService基于SoapHeader实现安全认证

发布时间：2020-12-17 00:08:54 所属栏目：安全来源：网络整理

导读：本文仅提供通过设置SoapHeader来控制非法用户对WebService的调用，如果是WebService建议使用WSE3.0来保护Web服务，如果使用的是Viaual Studio 2008可以使用WCF，WCF里面提供了更多的服务认证方法。以下提供一种基于SoapHeader的自定义验证方式。 ? 1.首先要

本文仅提供通过设置SoapHeader来控制非法用户对WebService的调用，如果是WebService建议使用WSE3.0来保护Web服务，如果使用的是Viaual Studio 2008可以使用WCF，WCF里面提供了更多的服务认证方法。以下提供一种基于SoapHeader的自定义验证方式。

1.首先要自定义SoapHeader,须继承System.Web.Services.Protocols.SoapHeader。

[csharp] ? view plain copy

using?System;??
using?System.Collections.Generic;??
using?System.Web;??
??
///?<summary>??
///自定义的SoapHeader??
///?</summary>??
public?class?MySoapHeader?:?System.Web.Services.Protocols.SoapHeader??
{??
????private?string?userName?=?string.Empty;??
????private?string?passWord?=?string.Empty;??
??
????///?<summary>??
????///?构造函数??
????///?</summary>??
????public?MySoapHeader()??
????{??
????}??
????///?<param?name="userName">用户名</param>??
????///?<param?name="passWord">密码</param>??
????public?MySoapHeader(string?userName,?string?passWord)??
????????this.userName?=?userName;??
????????this.passWord?=?passWord;??
????}??
????///?<summary>??
????///?获取或设置用户用户名??
????///?</summary>??
????public?string?UserName??
????{??
????????get?{?return?userName;?}??
????????set?{?userName?=?value;?}??
????///?获取或设置用户密码??
????public?string?PassWord??
????????get?{?return?passWord;?}??
????????set?{?passWord?=?value;?}??
}??

2.添加WebService,并编写相应代码。

copy

using?System.Web.Services;??

///?<summary>??
///WebService?的摘要说明??
///?</summary>??
[WebService(Namespace?=?"http://tempuri.org/")]??
[WebServiceBinding(ConformsTo?=?WsiProfiles.BasicProfile1_1)]??
public?class?WebService?:?System.Web.Services.WebService??
{??
????//声明Soap头实例??
????public?MySoapHeader?myHeader?=?new?MySoapHeader();??
????[System.Web.Services.Protocols.SoapHeader("myHeader")]??
????[WebMethod]??
????public?string?HelloWord()??
????????//可以通过存储在数据库中的用户与密码来验证??
????????if?(myHeader.UserName.Equals("houlei")?&?myHeader.PassWord.Equals("houlei"))??
????????{??
????????????return?"调用服务成功！";??
????????}??
????????else??
????????????return?"对不起，您没有权限调用此服务！";??
?

3.客户端调用，分别使用不设置SoapHeader与设置SoapHeader。

copy
1. using?System.Text;??
2. namespace?App??
3. ????class?Program??
4. ????????static?void?Main(string[]?args)??
5. ????????????localhost.WebService?service?=?new?localhost.WebService();??
6. ????????????//没有设置SoapHeader的服务调用??
7. ????????????Console.WriteLine("没有设置SoapHeader:"?+?service.HelloWord());??
8. ????????????Console.WriteLine();??
9. ????????????//将用户名与密码存入SoapHeader;??
10. ????????????localhost.MySoapHeader?header?=?new?localhost.MySoapHeader();??
11. ????????????header.UserName?=?"houlei";??
12. ????????????header.PassWord?=?"houlei";??
13. ????????????service.MySoapHeaderValue?=?header;??
14. ????????????//设置SoapHeader的服务调用??
15. ????????????Console.WriteLine("设置SoapHeader:"?+?service.HelloWord());??
16. ????????????Console.Read();??
17. ????????}??
18. }??
?

添加自定义SoapHeader可以成功调用WebService,否则不能调用WebService，从而实现对Web Service的非法调用。这种方法存在一定的弊端，就是在每一个WebService方法上都要进行一下验证，如果用户名与密码存储在数据库中，每调用一次WebService都要访问一次数据库进行用户名与密码的验证，对于频繁调用WebService来说，数据库压力很大。然而少量WebService调用这种方式还是一种不错的选择。

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!