最近在项目中遇到WEBSERVICE的安全性问题,本来,按以前的经验(WIINFORM中),可以在服务器端建一个用户表,进行身份验证,但后来发现,这存在安全性问题,所以查找后发现可以利用定义SOAP头进行用户信息绑定进行身份验证,下面就是相关代码,验证通过.
这里是SOAP头定义:
using System;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
public class MyHeader : System.Web.Services.Protocols.soapHeader
{
private string _UserID=string.Empty;
private string _PassWord=string.Empty;
/// <summary>
/// 构造函数
/// </summary>
public MyHeader()
{
}
/// <summary>
/// 构造函数
/// </summary>
/// <param name="nUserID">用户ID</param>
/// <param name="nPassWord">加密后的密码</param>
public MyHeader(string nUserID,string nPassWord)
{
Initial(nUserID,nPassWord);
}
#region 属性
/// <summary>
/// 用户名
/// </summary>
public string UserID
{
get{return _UserID;}
set{_UserID=value;}
}
/// <summary>
/// 加密后的密码
/// </summary>
public string PassWord
{
get{return _PassWord;}
set{_PassWord=value;}
}
#endregion
#region 方法
/// <summary>
/// 初始化
/// </summary>
/// <param name="nUserID">用户ID</param>
/// <param name="nPassWord">加密后的密码</param>
public void Initial(string nUserID,string nPassWord)
{
UserID=nUserID;
PassWord=nPassWord;
}
/// <summary>
/// 用户名密码是否正确
/// </summary>
/// <param name="nUserID">用户ID</param>
/// <param name="nPassWord">加密后的密码</param>
/// <param name="nMsg">返回的错误信息</param>
/// <returns>用户名密码是否正确</returns>
public bool IsValid(string nUserID,string nPassWord,out string nMsg)
{
nMsg="";
try
{
//判断用户名密码是否正确
if(nUserID == "admin" && nPassWord == "admin"){
return true;
}
else
{
nMsg="对不起,你无权调用此Web服务,可能有如下原因:/n 1.您的帐号被管理员禁用。/n 2.您的帐号密码不正确";
return false;
}
}
catch
{
nMsg="对不起,你无权调用此Web服务,可能有如下原因:/n 1.您的帐号被管理员禁用。/n 2.您的帐号密码不正确";
return false;
}
}
/// <summary>
/// 用户名密码是否正确
/// </summary>
/// <returns>用户名密码是否正确</returns>
public bool IsValid(out string nMsg)
{
return IsValid(_UserID,_PassWord,out nMsg);
}
#endregion
}
服务器部分:
using System;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class myService : System.Web.Services.WebService
{
/// <summary>
/// Soap头实例
/// </summary>
public MyHeader myHeader = new MyHeader();
public myService()
{
}
// WEB 服务示例
// HelloWorld() 示例服务返回字符串 Hello World
// 若要生成,请取消注释下列行,然后保存并生成项目
// 若要测试此 Web 服务,请按 F5 键
[WebMethod]
public string HelloWorld()
{
return "Hello World";
}
[SoapHeader("myHeader",Direction = SoapHeaderDirection.InOut)]
[WebMethod(Description = "ddddddd",EnableSession = true)]
public string HelloWorld2(string contents)
{
string msg = "";
//验证是否有权访问
if (!myHeader.IsValid(out msg))
return msg;
return "Hello World:" + contents;
}
}
其实原理就是定义一个SOAP头后,在客户端调用该头并注入身份信息,这样在网络上即使给截获了.也取不到身份信息.
小东西做完以后就想到了发布,感觉用VS2005的CLICKONCE方便好用,这里就不说了...随便查查就N多
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
