WebService基于SoapHeader实现安全认证源码及说明

本文仅提供通过设置SoapHeader来控制非法用户对WebService的调用，如果是WebService建议使用WSE3.0来保护 Web服务，如果使用的是Viaual Studio 2008可以使用WCF，WCF里面提供了更多的服务认证方法。以下提供一种基于SoapHeader的自定义验证方式。

1.首先要自定义SoapHeader,须继承System.Web.Services.Protocols.SoapHeader 。

using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Web; namespace XHWebService.BLL { /// <summary> /// 标头内容，用于安全处理 /// </summary> public class SoapHeaderAPI:System.Web.Services.Protocols.SoapHeader { /// <summary> /// 用户名称 /// </summary> public string SID { get; set; } /// <summary> /// 用户密码 /// </summary> public string PWD { get; set; } public SoapHeaderAPI() { } /// <summary> /// 构造 /// </summary> /// <param name="sid"></param> /// <param name="pwd"></param> public SoapHeaderAPI(string sid,string pwd) { SID = sid; PWD = pwd; } } }

2.添加WebService,并编写相应代码。

using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Services; using System.ComponentModel; namespace XHWebService.BLL { /// <summary> /// service api /// </summary> [WebService(Namespace = "http://tempuri.org/")] [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)] // 若要允许使用 ASP.NET AJAX 从脚本中调用此 Web 服务，请取消对下行的注释。 // [System.Web.Script.Services.ScriptService] public class ServiceApi : System.Web.Services.WebService { public ServiceApi() { //如果使用设计的组件，请取消注释以下行 //InitializeComponent(); } /// <summary> /// 安全头信息 /// </summary> public SoapHeaderAPI HeaderAPI { get; set; } #region //私有方法 /// <summary> /// 验证头信息 /// </summary> /// <returns></returns> private bool valide() { string SID = System.Configuration.ConfigurationManager.AppSettings["SID"].ToString(); string PWD = System.Configuration.ConfigurationManager.AppSettings["PWD"].ToString(); if (HeaderAPI == null) { return false; } if (HeaderAPI.SID.Equals(SID) && HeaderAPI.PWD.Equals(PWD)) { return true; } else { return false; } } #endregion /// <summary> /// Helloworld 测试 /// </summary> /// <param name="ErrMsg"></param> /// <returns></returns> [System.Web.Services.Protocols.SoapHeader("HeaderAPI")] [Description("Helloworld 测试")] [WebMethod] public string HelloWorld(out string ErrMsg) { if (!valide()) { //throw new Exception("非法请求！~"); ErrMsg = "非法请求！~"; return ""; } ErrMsg = string.Empty; return "Hello World，你好，测试2"; } } }

3.客户端调用，分别使用不设置SoapHeader与设置SoapHeader。?

using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; public partial class _Default : System.Web.UI.Page { protected localhost.ServiceApi WebAPI; protected void Page_Load(object sender,EventArgs e) { //实例化WebService对象 WebAPI = new localhost.ServiceApi(); //设置头信息，以便安全调用服务方法 localhost.SoapHeaderAPI header = new localhost.SoapHeaderAPI(); header.SID = "admin"; header.PWD = "123456"; WebAPI.SoapHeaderAPIValue = header; //Response.Write(api.HelloWorld()); } }

添加自定义SoapHeader可以成功调用WebService,否则不能调用WebService，从而实现对Web Service的非法调用。这种方法存在一定的弊端，就是在每一个WebService方法上都要进行一下验证，如果用户名与密码存储在数据库中，每调用一次WebService都要访问一次数据库进行用户名与密码的验证，对于频繁调用WebService来说，数据库压力很大。然而少量 WebService调用这种方式还是一种不错的选择。

?

源码下载见我的资源下载

?

项目名称：.net3.5 Webservice 实例源码 开发人：SkyGhost? QQ：16349023? Email:admin@xo68.com 时间：2010-9-25 环境：VS2008 说明： 实例方案中有四个子项目，分别是webService，webservice后置代码库，网站调用实例，窗体调用实例。 希望能给大家一定的帮助，少走弯路。