相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了.
首先我们来介绍webservice下的两种验证方式,
一.通过集成windows身份验证
通过集成windows方式解决webservice的安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然因为与windows紧密的结合到了一起,缺点自然也很明显了,第一,不便于移植,第二,要进行相关的配置部署工作(当然我们也可以用代码来操作IIS,只不过比较麻烦,最近一直做自动化部署,所以一讲到配置马上就会联想到怎么去自动部署)
具体怎么做呢?
服务器端:配置IIS虚拟目录为集成windows身份验证
客户端:
Service1 wr = new Service1(); //web service实例??
wr.Credentials = new NetworkCredential("administrator","123"); //用户名密码??
lblTest.Text = wr.Add(2,2).ToString(); //调用Add的 web service方法?
二.使用 SoapHeader(SOAP 标头)自定义身份验证
SoapHeader 多数情况下用来传递用户身份验证信息,当然它的作用远不止如此,有待于在实际应用中发掘,体可以实现哪些东西大家有想法可以留言一起交流.
SoapHeader 使用步骤:
(1) 创建继承自 System.Web.WebServices.SoapHeader 的自定义 SoapHeader 类型。
(2) 在 WebService 中创建拥有 public 访问权限的自定义 SoapHeader 字段。
(3) 在需要使用 SoapHeader 的 WebMethod 上添加 SoapHeaderAttribute 访问特性。SoapHeaderAttribute 构造必须指定 memberName 参数,就是我们在第二步中申明的字段名称。
(4) 生成器会自动为客户端生成同名的自定义 SoapHeader 类型,只不过比起我们在 WebService 端创建的要复杂一些。同时还会为代理类型添加一个 soapheaderValue 属性。
下面展示一段SoapHeader的代码,多余的方法将会在后面用到
客户端
class
Program {
static
void
Main(
string
[] args) { Service1 ws
=
new
Service1(); ServiceCredential mycredential
=
new
ServiceCredential(); mycredential.User
=
"
gazi
"
; mycredential.Password
=
"
gazi
"
; ws.ServiceCredentialValue
=
mycredential;
string
mystr
=
ws.SayHello(); } }
服务器端
public
class
Service1 : System.Web.Services.WebService {
public
ServiceCredential myCredential; [WebMethod] [SoapHeader(
"
myCredential
"
,Direction
=
SoapHeaderDirection.In)]
public
string
SayHello() {
return
"
hello
"
; } }
public
class
ServiceCredential : SoapHeader {
public
string
User;
public
string
Password;
public
static
bool
ValideUser(
string
User,
string
Password) {
return
true
; }
public
static
void
CheckUser(Object sender,WebServiceAuthenticationEvent e) {
if
(ValideUser(e.User,e.Password)) {
return
; }
else
{ WebServiceAuthenticationModule module
=
sender
as
WebServiceAuthenticationModule; module.Result.AddRule(
"
验证错误
"
,
"
不能确认您的身份,请检查用户名和密码
"
); } } }
当我们拥有很多个类的时候,要添加一个或者删除一个验证方式(假设需要进行多种认证)是非常麻烦的,我们不可能跑到每个方法里面去加一个方法调用,这是灾难性的工作,当然我们也可以用AOP来实现,Aop的话需要额外增加很多代码或者直接引入第三方来做,但是我们可不可以有更简便的方法呢?
OK,答案就是使用HttpModule,我们集成IHttpModule写一个处理模块,那么它的原理是什么呢?具体进行了哪些操作呢?我们的思路如下:
- HTTP Module 分析 HTTP 消息以检查它们是不是 SOAP 消息。
- 如果 HTTP Module 检测到 SOAP 消息,它会读取 SOAP 标头。
- 如果 SOAP 消息的 SOAP 标头中有身份验证凭据,HTTP Module 将引发一个自定义 global.asax 事件。
下面来看看我们的Module代码
1
public
class
WebServiceAuthenticationModule : IHttpModule
2
{
3
private
static
WebServiceAuthenticationEventHandler
4
_eventHandler
=
null
;
5
///
<summary>
6
///
验证事件.绑定到此事件可进行对用户身份的识别
7
///
</summary>
8
public
static
event
WebServiceAuthenticationEventHandler Authenticate
9
{
10
add { _eventHandler
=
value; }
11
remove { _eventHandler
-=
value; }
12
}
13
public
Result Result
=
new
Result();
14
15
public
void
Dispose()
16
{
17
}
18
public
void
Init(HttpApplication app)
19
{
20
app.AuthenticateRequest
=
new
21
EventHandler(
this
.OnEnter);
22
Result.EndValid
=
new
23
EventHandler(
this
.OnCheckError);
24
}
25
26
///
<summary>
27
///
验证用户身份
28
///
</summary>
29
///
<param name="e"></param>
30
private
void
OnAuthenticate(WebServiceAuthenticationEvent e)
31
{
32
if
(_eventHandler
==
null
)
33
return
;
34
35
_eventHandler(
this
,e);
36
if
(e.User
!=
null
)
37
e.Context.User
=
e.Principal;
38
}
39
40
public
string
ModuleName
41
{
42
get
{
return
"
WebServiceAuthentication
"
; }
43
}
44
45
void
OnEnter(Object source,EventArgs eventArgs)
46
{
47
HttpApplication app
=
(HttpApplication)source;
48
HttpContext context
=
app.Context;
49
Stream HttpStream
=
context.Request.InputStream;
50
51
//
Save the current position of stream.
52
long
posStream
=
HttpStream.Position;
53
54
//
If the request contains an HTTP_SOAPACTION
55
//
header,look at this message.HTTP_SOAPACTION
56
if
(context.Request.ServerVariables[
"
HTTP_SOAPACTION
"
]
==
null
)
57
return
;
58
59
//
Load the body of the HTTP message
60
//
into an XML document.
61
XmlDocument dom
=
new
XmlDocument();
62
string
soapUser;
63
string
soapPassword;
64
65
try
66
{
67
dom.Load(HttpStream);
68
69
//
Reset the stream position.
70
HttpStream.Position
=
posStream;
71
72
//
Bind to the Authentication header.
73
soapUser
=
74
dom.GetElementsByTagName(
"
User
"
).Item(
0
).InnerText;
75
soapPassword
=
76
dom.GetElementsByTagName(
"
Password
"
).Item(
0
).InnerText;
77
}
78
catch
(Exception e)
79
{
80
//
Reset the position of stream.
81
HttpStream.Position
=
posStream;
82
83
//
Throw a SOAP exception.
84
XmlQualifiedName name
=
new
85
XmlQualifiedName(
"
Load
"
);
86
SoapException soapException
=
new
SoapException(
87
"
SOAP请求没有包含必须的身份识别信息
"
,name,e);
88
throw
soapException;
89
}
90
//
触发全局事件
91
OnAuthenticate(
new
WebServiceAuthenticationEvent
92
(context,soapUser,soapPassword));
93
Result.OnEndValid();
94
return
;
95
}
96
void
OnCheckError(Object sender,EventArgs e)
97
{
98
if
(Result.BrokenRules.Count
==
0
)
99
{
100
return
;
101
}
102
else
103
{
104
HttpApplication app
=
HttpContext.Current.ApplicationInstance;
105
app.CompleteRequest();
106
app.Context.Response.Write(Result.Error);
107
}
108
}
109
}
Authenticate事件是一个静态的变量,这样我们可以在程序的外部来订阅和取消订阅事件(非静态的public 事件在外部也是不能进行订阅和取消订阅事件的,这也是事件和委托的一个区别之一)
下面是我们的事件参数以及委托
1
public
delegate
void
WebServiceAuthenticationEventHandler(Object sender,WebServiceAuthenticationEvent e);
2
3
///
<summary>
4
///
封装的事件参数
5
///
</summary>
6
public
class
WebServiceAuthenticationEvent : EventArgs
7
{
8
private
IPrincipal _IPrincipalUser;
9
private
HttpContext _Context;
10
private
string
_User;
11
private
string
_Password;
12
13
public
WebServiceAuthenticationEvent(HttpContext context)
14
{
15
_Context
=
context;
16
}
17
18
public
WebServiceAuthenticationEvent(HttpContext context,
19
string
user,
string
password)
20
{
21
_Context
=
context;
22
_User
=
user;
23
_Password
=
password;
24
}
25
public
HttpContext Context
26
{
27
get
{
return
_Context; }
28
}
29
public
IPrincipal Principal
30
{
31
get
{
return
_IPrincipalUser; }
32
set
{ _IPrincipalUser
=
value; }
33
}
34
public
void
Authenticate()
35
{
36
GenericIdentity i
=
new
GenericIdentity(User);
37
this
.Principal
=
new
GenericPrincipal(i,
new
String[
0
]);
38
}
39
public
void
Authenticate(
string
[] roles)
40
{
41
GenericIdentity i
=
new
GenericIdentity(User);
42
this
.Principal
=
new
GenericPrincipal(i,roles);
43
}
44
public
string
User
45
{
46
get
{
return
_User; }
47
set
{ _User
=
value; }
48
}
49
public
string
Password
50
{
51
get
{
return
_Password; }
52
set
{ _Password
=
value; }
53
}
54
public
bool
HasCredentials
55
{
56
get
57
{
58
if
((_User
==
null
)
||
(_Password
==
null
))
59
return
false
;
60
return
true
;
61
}
62
}
63
}
我们在Global.asax的Application_Start方法里面把前面介绍的静态方法ServiceCredential.CheckUser订阅到我们Authenticate事件上,前面提到的增加和删除多种认证方式就是通过这种方法实现的.
protected void Application_Start(object sender, EventArgs e)
{
WebServiceAuthenticationModule.Authenticate += ServiceCredential.CheckUser;
}
我们在ServiceCredential.ValideUser方法设置了返回false,这是针对测试的一个配置,实际情况下我们可以和数据库结合起来写一个认证 运行上面讲解SoapHeader的那段代码,你会发现我们的认证已经有效了.关于文章中用到的Result类改天在用一篇文章记录一下,这是一个非常好的记录错误的方案.
