码迷,mamicode.com
首页 > Windows程序 > 详细

C#调用Web Service时的身份验证

时间:2015-08-19 13:08:09      阅读:238      评论:0      收藏:0      [点我收藏+]

标签:

在项目开发,我们经常会使用WebService,但在使用WebService时我们经常会考虑以下问题:怎么防止别人访问我的WebService?从哪里引用我的WebService?对于第一个问题,就涉及到了WebService是安全问题,因为我们提供的WebService不是允许所有人能引用 的,可能只允许本公司或者是通过授权的人才能使用的。那怎么防止非法用户访问呢?很容易想到通过一组用户名与密码来防止非法用户的调用 。
       在System.Net中提供了一个NetworkCredential,通过它我们可以在网络中提供一个凭证,只有获得该凭证的用户才能访问相应的服务的权限。在这里我们也使用NetworkCredential。在NetworkCredential中,我们通过提供WebService发布所在的服务器名称,以及登录服务器并调用该WebService的用户名及密码(在IIS中配置)。
在调用WebService时设置其Credential属性,把上面得到的Credential凭证赋值给它,这样只有使用提供的用户名及密码才能调用WebService服务了而其他用户则无法访问,这样就能能满足防止WebService被别人调用了。
       至于主机名,用户名及密码,对于B/S可以通过webconfig来配置,对于C/S可以使用应用程序配置文件。这样就能灵活地配置了。
如下以C/S为例来说明,首先我们提供一个服务器网络凭证,然后通过WebRequest来验证连接是否成功。当然了,为了保存用户名与密码等的安全,可以对其进行加密等手段来保证其安全。

以下是主要源代码:
         /// <summary>
        /// 服务器网络凭证
         /// </summary>
        /// <returns></returns>
         public static NetworkCredential MyCred()
        {
            string loginUser = Properties.Settings.Default.UserName;//用户名
             string loginPSW = Properties.Settings.Default.UserPSW;//密码
             string loginHost = Properties.Settings.Default.HostName;//主机名,可以是IP地址,也可以服务器名称
            NetworkCredential myCred = new NetworkCredential(loginUser,loginPSW, loginHost);
            //NetworkCredential myCred = new NetworkCredential("username", "123456", "yourip");//"username", "123456", "yourservername"
            return myCred;
        }
        /// <summary>
        /// 验证是否成功连接到服务器,若连接成功,则返回TRUE
        /// </summary>
        /// <param name="url">服务器WebService URL</param>
        /// <returns></returns>
        public static bool Credential(string url)
        {
           //定义局部变量
           string url = G_Url;//2009-02-25   服务器验证只验证到机器

            try
            {
                if (myWebResponse == null)
                {
                    WebRequest myWebRequest = WebRequest.Create(url);//根据URL创建一个连接请求
                    myWebRequest.Credentials = MyCred();//获取验证的凭证,这是最重要的一句
                    myWebRequest.Timeout = 20000;//单位为毫秒

                    myWebResponse = myWebRequest.GetResponse();//返回连接成功时的信息
                }
            }
            catch (WebException wex)//无法连接到服务器,可能是因为服务器错误或用户名与密码错误
            {
                if (myWebResponse != null)//毁销
                {
                    myWebResponse.Close();
                    myWebResponse = null;
                }

                return false;
            }
            catch (Exception ex)
            {
                if (myWebResponse != null)
                {
                    myWebResponse.Close();
                    myWebResponse = null;
                }

                return false;

            }
            finally
            {
            }

            return true;
        }

       private static WS_Webasic.WS_Webasic webasic =null;//实现华WS_Webasic.WS_Webasic 

        /// <summary>
        /// WS_Webasic初始化
        /// </summary>
        public static WS_Webasic.WS_Webasic WS_Webasic
        {
            get
            {
                if (webasic == null)//若webasic 为空,则重新实例化,这样可以减少验证的时间,提高效率
                {
                    //webasic = new ZEDI.WS_Webasic.WS_Webasic();
                    //wsBool = Credential(webasic.Url);//URL改为服务器地址 2009-02-25 
                    wsBool = Credential(G_Url); 
                   if (wsBool == true)  //服务器连接验证通过
                   {
                       webasic = new WS_Webasic.WS_Webasic();//实例化
                        webasic.Credentials = MyCred();//得到服务器连接凭证,这样该WebService可以放心的连接了
                    }
                }
                return webasic;
            }
        }

注:
(1)必须引用 System.Net;
(2)对WebService发访问,在IIS里取消匿名访问权限,若允许匿名访问,就没有必须提供验证凭证了。IIS里怎么取消匿名访问 权限请参照IIS相关文章,这里不在累赘。
验证是有时速度会比较慢,主要是因为myWebResponse = myWebRequest.GetResponse();

二、

  第二、在第一种方法的基础上对WebService里的方法进行加密,这里面方法很多,下面提供一种比较常用的方法。在调用方法时多提供二个参数用户加密解密用(当然了提供几个参数看自己的需要而定)。比如有个WebService方法是根据顾客ID获取数据库中的顾客的详细资料为GetCustomerDetailByCustomerID(string custID);如果只提供一个参数,则很容易被别人访问调用,从而顾客资料很容易被别人获取,因此我们对这个方法进行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);这样,只有提供正确的scustID与ecustID这二个参数才能成功调用这个方法,而对于这二个参数scustID与ecustID,则可以通过加密方法生成一个字符串,如scustID=‘C39134558‘,ecustID=‘C39223525‘,只有这二个参数满足一定的条件时才算验证通过,而对于参数来说,我们也可以提供一个验证,如果scustID里的值C39134558,前面三位必须是C39,紧跟5位13455则相加后的值18进行位操作如,对值18加一个因子,如1,则出现以下的运行:(18+1)%11==8,这样只有最后一位为8才算这个参数值是符合要求的,所以随便输入一个参数如:C39134556,则因为不符合要求,所以验证不能通过。在这里即使二个参数scustID=‘C39134558‘,ecustID=‘C39223525‘都对了,则还需要通过这二个参数的进一步的验证才能算成功。至于这二个满足什么要求,一种是可以采用现有的加密机制,也可以自己写一个加密类来袜。 上面只是举一个简单的例子。

     通过上面的二个步骤,则可以实现比较安全的WebService调用了。

 

三、解决方案一:通过通过SOAP Header身份验证。


1.我们实现一个用于身份验证的类,文件名MySoapHeader.cs 

MySoapHeader类继承自System.Web.Services.Protocols.SoapHeader。且定义了两个成员变量,UserName和PassWord,还定义了一个用户认证的函数ValideUser。它提供了对UserName和PassWord检查的功能

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.Services;
using System.Web.Services.Protocols;
/// <summary>
///MySoapHeader 的摘要说明
/// </summary>
public class MySoapHeader:SoapHeader
{
    public MySoapHeader()
    {
        //
        //TODO: 在此处添加构造函数逻辑
        //
    }
    public string UserName;
    public string PassWord;
    public bool ValideUser(string in_UserName, string in_PassWord)  
    {
        if ((in_UserName == "zxq") && (in_PassWord == "123456"))
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}
 

2.下面我们创建WebService.asmx    WebService.cs代码如下:

using System;
using System.Collections;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
/// <summary>
///WebService 的摘要说明
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebService : System.Web.Services.WebService
{
    public WebService()
    {
        //如果使用设计的组件,请取消注释以下行 
        //InitializeComponent(); 
    }
    public MySoapHeader header; ////定义用户身份验证类变量header
    [WebMethod(Description = "用户验证测试")]
    [System.Web.Services.Protocols.SoapHeader("header")]//用户身份验证的soap头 
    public string HelloWorld(string contents)
    {
        //验证是否有权访问 
        if (header.ValideUser(header.UserName, header.PassWord))
        {
            return contents + "执行了";
        }
        else
        {
            return "您没有权限访问";
        }
    }
}

3.客户端 创建个Default.aspx 

using System;
using System.Configuration;
using System.Data;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
public partial class _Default : System.Web.UI.Page 
{
    protected void Page_Load(object sender, EventArgs e)
    {
        com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改成您自己的)
        com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用创建soap头对象(改成您自己的)
        //设置soap头变量
        Header.UserName = "zxq";
        Header.PassWord = "123456";
        test.MySoapHeaderValue = Header;
        //调用web 方法
        Response.Write(test.HelloWorld("我是强"));
    }
}
 

解决方案二:通过集成windows身份验证。

1. 将web服务程序设为集成windows身份验证  
2.客户端web引用代码

  1. Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service实例 
  2. wr.Credentials = new NetworkCredential("guest","123"); //guest是用户名,该用户需要有一定的权限 
  3. lblTest.Text = wr.Add(2,2).ToString(); //调用web service方法

该方案的优点是比较安全,性能较好,缺点是不便于移植,部署工作量大。

C#调用Web Service时的身份验证

标签:

原文地址:http://www.cnblogs.com/hongmaju/p/4741623.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!