我编写了一个简单的 .NET 网络服务,我将托管在不同的服务器上,可能位于不同的大陆。我真的不知道。现在,我只有它的 URL,我尝试使用 webrequest 和 webresponse 方法来访问那个 web 服务 vai HTTP POST。现在,我想知道有没有什么方法可以保护 web 服务访问,这样没有人可以利用它?
例如:
http://example.com/Verify/Verification.asmx/Verify?AccountNumber=3223&ProductName=876
现在,这些是调用此 Web 服务所需的所有参数。好像现在,任何人都可以利用它。那么我怎样才能使它安全呢?虽然,我打算获得 SSL,而这整个过程是从服务器到服务器,而不是从客户端到服务器?
【问题讨论】:
标签: .net web-services security
您可以在 Web 请求的授权标头中传递服务密钥(很像 Amazon WS),该服务密钥可以使用您选择的算法进行加密,然后在服务端解密,并且仅在以下情况下继续执行关键匹配
请参阅以下 URL 中的第 14.8 节
【讨论】:
很遗憾,您没有太多选择,因为您使用的是旧的 ASMX Web 服务技术。通过 Internet 使用 ASMX Web 服务对某人进行身份验证的唯一方法基本上是“自己动手”。
如果我必须这样做,我会使用 WCF 并给自己一些选择。如果我不能使用 WCF,那么我会创建一个自定义 HTTP 标头来传递用户名和密码(通过 SSL!),并在服务器上对它们进行身份验证。或者,我会在客户端上使用证书并要求将它们发送到服务器。 IIS 甚至可以将客户端证书转换为服务器上的 Windows 身份。
【讨论】:
在 WCF 之前用于保护 .NET Web 服务的通常是 Microsoft 的 Web Service Extensions (WSE),现在是 3.0 版。我已经在一个市售的产品中成功地使用了它,它基于 W3C ws-* 标准,相当不错。如果您使用 Apache Axis,则可以成功地与 .NET 客户端(显然)以及 Java 客户端进行互操作。下载地址:
【讨论】:
我们提供了相当多的 Web 服务,为了保护它们,我们只是在请求对象中添加了用户名和密码。在您的情况下,您可以为用户名和密码添加 2 个新参数,或者更简单地添加一个并使用身份验证代码之类的东西,您可以根据需要使其复杂或简单。
一些想法很简单,例如 GUID 列表,这些 GUID 是对请求服务器 IP 地址进行加密的可接受密钥,因此身份验证代码仅适用于 Web 服务验证的 IP 地址。
【讨论】:
您还可以创建一个令牌并将此令牌ID 作为参数传递给每个网络方法。您可以在哈希表中维护令牌,并在会话被放弃后从哈希表中删除。
成功登录后需要生成令牌。要生成令牌 ID,我建议使用 RNGCryptoServiceProvider。
【讨论】: