我们正在寻求确保一堆ASP.Net 2.0 .asmx Web服务。将承载Web服务的内容已经通过了表单认证。
是否可以使用表单身份验证来保护Web服务? 什么是利弊和其他可能的方式来实现这一点。我们当然不希望在每个Web方法调用中传递用户名/密码或令牌。使用Forms Authentication可以保护Web服务吗?
7
A
回答
5
表单身份验证的事情是它为人们设计的,其中Web服务被设计为由客户端应用程序使用。虽然可以像这样进行认证,但这是错误的思维方式。
所需的安全级别显然取决于您正在使用的数据的敏感性,但我会假设它至少有点敏感(但不及银行交易)。你也许可以使用SSL并按照jle的建议传递用户名和密码,而我正在输入这个密码,或者你可能需要一个api密钥,就像flickr一样。
另一个更安全的选择是只传递一次用户名和密码(以及ssl的安全性),并给出有效期为一段时间的令牌。这具有保护密码信息的好处,并避免了ssl的不断开销。
正如前面提到的那样,它高度依赖于您要保护的信息的敏感程度。
0
这是可能的,但您需要将用户重定向到登录页面。另一个传递用户名/密码的选项是使用ssl上的Web服务。如果您加密连接,则可以使用基本身份验证没有问题。
0
你应该可以使用WSE来确保你的服务使用表单认证 - 虽然我个人从来没有这样做过。
下面是使用WSE一些资源:
- http://aleemkhan.wordpress.com/2007/09/18/using-wse-30-for-web-service-authentication/
- http://msdn.microsoft.com/en-us/library/aa480575.aspx
要不要使用WSE你需要实现这样的事情,因为一些其他presponders已经提到,但我不确定它会有多可靠:
2
WSE已过时。除非你没有选择,否则不要使用它。
几乎WSE的所有功能都由WCF更好地实现。剩下的功能,那些没有被WCF实现的功能本身已经过时了(例如DIME)。
相关问题
- 1. 保护Web服务
- 2. 保护Web服务
- 3. 保护Web服务
- 4. 可以使用视图来保护链接的服务器吗?
- 5. 使用Apache Shiro保护RESTful Web服务
- 6. 使用OPENAM保护web服务
- 7. 使用oauth保护SOAP Web服务
- 8. 保护JSON Web服务
- 9. 保护ASP.NET Web服务
- 10. 保护jQuery SPA web服务
- 11. 保护REST Web服务
- 12. 保护PHP的web服务
- 13. 保护Android Web服务
- 14. 如何保护web服务,以便只有我的android应用程序可以使用我的web服务
- 15. 保护WCF ASP.NET web服务
- 16. 密码保护Web服务
- 17. 从PHP解析XML web服务使用jQuery调用:'https'足以保护XML吗?
- 18. .Net Forms Authentication
- 19. 保护asp.net web服务以便从flash中使用
- 20. Can Django可以用于Web服务吗?
- 21. 可以保护cookie吗?
- 22. 在Oracle Forms中使用.NET Web服务
- 23. 保护PHP Web服务调用
- 24. 我们可以在使用Forms Authentication的另一个应用程序中使用自己的Web.config和Forms Authentication部分创建应用程序吗?
- 25. 您可以使用SoapUI测试证书保护的WCF服务吗?
- 26. ASP.NET Forms Authentication without Redirect
- 27. Web服务可以与其他Web服务交谈吗?
- 28. Web服务可以返回DefaultListModel吗?
- 29. Web服务可以返回流吗?
- 30. .NET在生成Web服务时可以保留WSDL吗?