1
我如何授权客户端(在这种情况下,客户端是一个应用程序)中使用.NET Web服务,用于Web服务
例如客户端授权一种方法,但不允许网络内的其他应用程序调用此方法。
我想避免传输层授权并使用基于消息的授权。
Q
用于Web服务
A
回答
1
您应该看看WS-Security和WS-Policy标准。最好的方法是让客户端应用程序(使用私钥)签署所有请求,并在服务器端检查此签名。
我们使用安装这样,与WSDL以下WS-Policy定义:
<!--Endpoint Policy-->
<wsp:Policy wsu:Id="Endpoint_policy"
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<wsp:ExactlyOne>
<wsp:All>
<sp:AsymmetricBinding
xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<wsp:Policy>
<sp:InitiatorToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy/IncludeToken/AlwaysToRecipient">
<wsp:Policy>
<sp:WssX509V3Token10 />
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:InitiatorToken>
<sp:RecipientToken>
<wsp:Policy>
<sp:X509Token
sp:IncludeToken="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy/IncludeToken/Never">
<wsp:Policy>
<sp:WssX509V3Token10 />
</wsp:Policy>
</sp:X509Token>
</wsp:Policy>
</sp:RecipientToken>
<sp:AlgorithmSuite>
<wsp:Policy>
<!-- sp:Basic256/-->
<sp:TripleDesRsa15 />
</wsp:Policy>
</sp:AlgorithmSuite>
<sp:Layout>
<wsp:Policy>
<sp:Lax />
</wsp:Policy>
</sp:Layout>
</wsp:Policy>
</sp:AsymmetricBinding>
<sp:Wss10
xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<wsp:Policy>
<sp:MustSupportRefKeyIdentifier />
<sp:MustSupportRefIssuerSerial />
</wsp:Policy>
</sp:Wss10>
</wsp:All>
</wsp:ExactlyOne>
</wsp:Policy>
<!--End of Endpoint Policy-->
<!--Message Policy1-->
<wsp:Policy wsu:Id="Sign_message_policy"
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy"
xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<wsp:ExactlyOne>
<wsp:All>
<sp:SignedParts
xmlns:sp="http://schemas.xmlsoap.org/ws/2005/07/securitypolicy">
<sp:Body />
</sp:SignedParts>
</wsp:All>
</wsp:ExactlyOne>
</wsp:Policy>
<!--End of Message Policy1-->
然后,您在WSDL的结合部分引用这些政策。例如:
<binding name="ExampleServiceSOAP" type="foobar:ExampleServicePort">
<!-- WS-Security -->
<wsp:PolicyReference URI="#Endpoint_policy" />
<soap:binding style="document" transport="http://schemas.xmlsoap.org/soap/http"/>
<operation name="getSomething">
<soap:operation soapAction="getSomething" style="document"/>
<input>
<!-- WS-Security -->
<wsp:PolicyReference URI="#Sign_message_policy" />
<soap:body use="literal"/>
</input>
<output>
<soap:body use="literal"/>
</output>
</operation>
</binding>
1
最简单的(也是最“便携”的)就是使用HTTP Authentication。
相关问题
- 1. HttpContext的用于web服务
- 2. 关于Web服务?
- 3. 用于Web应用程序的基于云的Web服务
- 4. Web服务与Web服务引用DLL
- 5. 关于java web服务
- 6. Web服务(基于SOAP/Restful)
- 7. Web服务或Web服务
- 8. Restful web服务如何比基于SOAP的web服务更好
- 9. Web服务依赖于另一个Web服务
- 10. 适用于Android的Web服务器
- 11. 建议用于剖析Web服务器
- 12. 用于iPhone的样机web服务
- 13. Python如何用于创建Web服务?
- 14. 用于搜索餐厅的Web服务
- 15. 用于创建Web服务的技术
- 16. 用于Web服务的Android Asyntask
- 17. Can Django可以用于Web服务吗?
- 18. 用于SOAP Web服务的PHP类?
- 19. 用于Web服务的Java 1.3库
- 20. 用于Web服务的Profiler工具
- 21. 用于移动Web服务的Bluemix SSO
- 22. OAuth 2.0用于REST Web服务
- 23. 基于通用的Web服务
- 24. 用于服务器端Web服务异步
- 25. 适用于存储Web服务输出缓存的云服务?
- 26. Web API调用Web服务
- 27. WSDL从与用于生成Web服务的WSDL不同的Web服务获得
- 28. 调用Web服务
- 29. 调用Web服务
- 30. Web服务引用