3
呼叫者我继承了一个系统,该系统由一个WebMethod中的数据集的形式获取数据。数据可能很敏感。让我感到震惊的是,有些方法无法知道,或者检查调用者是谁,还有一些方法需要整数来标识调用者。该整数从0开始并且是连续的并且与不同的公司/数据集相关联。显然不够好。 (这是容易的,我通过猜测数字如何验证与Web服务通信
我的问题是看我不应该有访问数据,是否有认证呼叫者,完善这一系统
A
回答
3
什么类型的服务是什么?这些天,我会写的WCF,并使用任何常规身份模型进行身份验证(我通常使用TransportWithMessageCredential - 即正文中带有用户名/密码的SSL)。然后你可以通过Principal(Thread.CurrentPrincipal.Identity.Name)查看身份。
对于SOAP服务,可以使用SOAP头进行身份验证,也可以包括身份信息的方法参数 - 无论是用户名/密码对或独立的身份凭证,可解析得到认同。无论如何,您只应通过SSL等安全传输方式“按原样”传递身份信息。还有其他技术不需要传递密码,但它们更复杂(特别是涉及多个域等时)。 Kerberos或联合安全性是选项。就个人而言,我把它简单,因为不是所有的客户端可以使用联合等 - 但大多数客户端可以通过通过SSL进行用户名/口令对。
0
的最佳实践方法如果你有控制Web服务代码,你可以修改它为需要身份验证或可能创建一个代理吧。
请仔细阅读本article。
相关问题
- 1. 如何通过curl验证web服务?
- 2. Applet如何与Web服务器通信
- 3. Java与web服务通信
- 4. 如何与需要验证的服务器通信?
- 5. 如何验证服务器到服务器通信
- 6. 验证Web服务
- 7. 验证Web服务
- 8. Web服务通信
- 9. 春季Web服务 - Web服务通信
- 10. 验证应用服务器通信?
- 11. 验证XHTML代码与validator.nu web服务
- 12. 与Web服务相互验证
- 13. 使用WPF与Web服务器通信
- 14. Android与Web服务器数据通信
- 15. HTTPS与phoneGap的Web服务通信
- 16. 通过Web代理与WCF服务通信;从Windows服务
- 17. Web服务身份验证
- 18. Spring的web服务验证
- 19. 验证web服务可用
- 20. 验证Web服务选项
- 21. XML验证Web服务
- 22. Web服务 - 验证输入
- 23. 验证Web服务类型
- 24. 如何通过Web服务器验证他的Gmail帐户?
- 25. Rails的Web服务通信
- 26. 迅速Web服务通信
- 27. wcf vs web服务通信?
- 28. Android - Web服务器通信
- 29. 如何通过menuItemClick服务器验证
- 30. 与身份验证服务器通话
如果你使用WCF,您还可以在加密敏感数据的许多选项。 – 2009-05-31 21:29:13