我们正在寻求确保一堆ASP.Net 2.0 .asmx Web服务。将承载Web服务的内容已经通过了表单认证。
是否可以使用表单身份验证来保护Web服务? 什么是利弊和其他可能的方式来实现这一点。我们当然不希望在每个Web方法调用中传递用户名/密码或令牌。使用Forms Authentication可以保护Web服务吗?
7
A
回答
5
表单身份验证的事情是它为人们设计的,其中Web服务被设计为由客户端应用程序使用。虽然可以像这样进行认证,但这是错误的思维方式。
所需的安全级别显然取决于您正在使用的数据的敏感性,但我会假设它至少有点敏感(但不及银行交易)。你也许可以使用SSL并按照jle的建议传递用户名和密码,而我正在输入这个密码,或者你可能需要一个api密钥,就像flickr一样。
另一个更安全的选择是只传递一次用户名和密码(以及ssl的安全性),并给出有效期为一段时间的令牌。这具有保护密码信息的好处,并避免了ssl的不断开销。
正如前面提到的那样,它高度依赖于您要保护的信息的敏感程度。
0
这是可能的,但您需要将用户重定向到登录页面。另一个传递用户名/密码的选项是使用ssl上的Web服务。如果您加密连接,则可以使用基本身份验证没有问题。
0
你应该可以使用WSE来确保你的服务使用表单认证 - 虽然我个人从来没有这样做过。
下面是使用WSE一些资源:
- http://aleemkhan.wordpress.com/2007/09/18/using-wse-30-for-web-service-authentication/
- http://msdn.microsoft.com/en-us/library/aa480575.aspx
要不要使用WSE你需要实现这样的事情,因为一些其他presponders已经提到,但我不确定它会有多可靠:
2
WSE已过时。除非你没有选择,否则不要使用它。
几乎WSE的所有功能都由WCF更好地实现。剩下的功能,那些没有被WCF实现的功能本身已经过时了(例如DIME)。
相关问题
- 1. 保护Web服务
- 2. 保护Web服务
- 3. 保护Web服务
- 4. 使用OPENAM保护web服务
- 5. 使用oauth保护SOAP Web服务
- 6. 保护.net Web服务URL
- 7. 保护ASP.NET Web服务
- 8. 保护jQuery SPA web服务
- 9. 保护WCF ASP.NET web服务
- 10. 密码保护Web服务
- 11. 从PHP解析XML web服务使用jQuery调用:'https'足以保护XML吗?
- 12. 保护asp.net web服务以便从flash中使用
- 13. .Net Forms Authentication
- 14. Can Django可以用于Web服务吗?
- 15. 在Oracle Forms中使用.NET Web服务
- 16. 我们可以在使用Forms Authentication的另一个应用程序中使用自己的Web.config和Forms Authentication部分创建应用程序吗?
- 17. 您可以使用SoapUI测试证书保护的WCF服务吗?
- 18. ASP.NET Forms Authentication without Redirect
- 19. Web服务可以返回流吗?
- 20. 保护PHP XML Web服务AJAX
- 21. WCF服务可以像使用ASP.NET Web服务一样使用吗?
- 22. 保护Web服务:Asmx或WCF
- 23. 保护Web服务器中的资源
- 24. 如何在.net中保护web服务?
- 25. 如何保护debian nginx web服务器
- 26. ASP.Net Web服务,它可以嵌套吗?
- 27. 通过SSL保护WCF Web服务
- 28. 通过SSL证书保护Web服务
- 29. 如何保护对Web服务的呼叫不可见
- 30. 如何保护.NET Web服务以供iPhone应用程序使用?