ASP.NET中Webservice安全 实现访问权限控制
一、概述:
WebServices是由企业发布的完成其特定商务需求的在线应用服务,其他公司或应用软件能够通过Internet来访问并使用这项在线服务。它逻辑性的为其他应用程序提供数据与服务.各应用程序通过网络协议和规定的一些标准数据格式(Http,XML,Soap)来访问WebService,通过WebService内部执行得到所需结果。由于它通过internet进行调用,必然存在网络用户都可以调用的安全问题。如何实现webservice的访问权限限制,是使用webservice用户使用面临重要的问题,下文就给两种方案,从浅到深解决上面问题。
二、基于“soapheader”特性的简单方法
1."soapheader"概述
SOAP标头提供了一种方法,用于将数据传递到XMLWebservices方法或从XMLWebservices方法传递数据,条件是该数据不直接与XMLWebservices方法的主功能相关。多数情况下用来传递用户身份验证信息,当然它的作用远不止如此,有待于在实际应用中发掘。
2.soapheader实现用户身份验证代码
usingSystem;
usingSystem.Collections.Generic;
usingSystem.Linq;
usingSystem.Web;
usingSystem.Web.Services;
usingSystem.Web.Services.Protocols;
namespaceUserCenter
{
publicclassMySoapHeader:SoapHeader
{
publicstringUserName
{
get;
set;
}
publicstringPWD
{
get;
set;
}
}
///<summary>
///MyMath的摘要说明
///</summary>
[WebService(Namespace="http://tempuri.org/")]
[WebServiceBinding(ConformsTo=WsiProfiles.BasicProfile1_1)]
[System.ComponentModel.ToolboxItem(false)]
//若要允许使用ASP.NETAJAX从脚本中调用此Web服务,请取消对下行的注释。
//[System.Web.Script.Services.ScriptService]
publicclassMyMath:System.Web.Services.WebService
{
publicMySoapHeadersHeader;
[WebMethod]
publicstringHelloWorld()
{
return"HelloWorld";
}
[WebMethod]
[SoapHeader("sHeader")]
publicstringadd(intx,inty)
{
if(sHeader.UserName=="test"&&sHeader.PWD=="test")
{
return(x+y).ToString();
}
else
{
returnnull;
}
}
}
}
3.缺点分析:
(1)服务逻辑和用户权限验证逻辑混和,加大程序理解复杂度。
(2)权限逻辑重用性不高
二、基于“SoapExtensionAttribute”特性的方法
1.SoapExtensionAttribute与SoapExtension概述
SoapExtension和SoapExtensio。Attribute两个类用于控制webservice序列化和反序列化的一般过程,可对webservice进行压缩和日志等功能进行控制.
2.实现代码
usingSystem;
usingSystem.Collections.Generic;
usingSystem.Linq;
usingSystem.Web;
usingSystem.Web.Services;
usingSystem.Web.Services.Protocols;
namespaceXMLClass1.class15.content
{
[AttributeUsage(AttributeTargets.Method)]
publicclassMyExtensionAttribute:SoapExtensionAttribute
{
int_priority=1;
publicoverrideintPriority
{
get{return_priority;}
set{_priority=value;}
}
publicoverrideTypeExtensionType
{
get{returntypeof(MyExtension);}
}
}
publicclassMyExtension:SoapExtension
{
//这个override的方法会被调用四次
//分别是SoapMessageStageBeforeSerialize,AfterSerialize,BeforeDeserialize,AfterDeserialize
publicoverridevoidProcessMessage(SoapMessagemessage)
{
if(message.Stage==SoapMessageStage.AfterDeserialize)//反序列化之后处理
{
boolcheck=false;
foreach(SoapHeaderheaderinmessage.Headers)
{
if(headerisMySoapHeader)
{
MySoapHeadermyHeader=(MySoapHeader)header;
if(myHeader.Name=="admin"||myHeader.PassWord=="admin")
{
check=true;
break;
}
}
}
if(!check)
thrownewSoapHeaderException("认证失败",SoapException.ClientFaultCode);
}
}
publicoverrideObjectGetInitializer(Typetype)
{
returnGetType();
}
publicoverrideObjectGetInitializer(LogicalMethodInfoinfo,SoapExtensionAttributeattribute)
{
returnnull;
}
publicoverridevoidInitialize(Objectinitializer)
{
}
}
publicclassMySoapHeader:SoapHeader
{
string_name;
string_passWord;
publicstringName
{
get{return_name;}
set{_name=value;}
}
publicstringPassWord
{
get{return_passWord;}
set{_passWord=value;}
}
}
///<summary>
///headersoap2的摘要说明
///</summary>
[WebService(Namespace=http://tempuri.org/)]
[WebServiceBinding(ConformsTo=WsiProfiles.BasicProfile1_1)]
[System.ComponentModel.ToolboxItem(false)]
//若要允许使用ASP.NETAJAX从脚本中调用此Web服务,请取消对下行的注释。
//[System.Web.Script.Services.ScriptService]
publicclassheadersoap2:System.Web.Services.WebService
{
publicMySoapHeaderheader;
[WebMethod]
[MyExtensionAttribute]
[SoapHeader("header",Direction=SoapHeaderDirection.In)]
publicstringCheckHeader()
{
//业务逻辑.
return"Somethingdone";
}
}
}
以上就是Webservice的安全设置全部内容,希望能给大家一个参考,也希望大家多多支持毛票票。