c# - 保护网络服务的最佳方式是什么？-6ren

c# - 保护网络服务的最佳方式是什么？

转载作者：太空狗更新时间：2023-10-30 01:11:33

24

4

正如标题 allready 所解释的那样，我想保护我的网络服务。我读过您可以使用 soap 身份验证 header 执行此操作，但用户名和密码将以纯文本形式传递。

我想知道应该如何保护我的网络服务？例子会很棒。

我有一个与我们合作的公司的例子，它有 2 个网络服务。一个负责安全，一个负责获取所需的数据，但我没有他们的代码，但系统看起来很棒:

bool loginSuccessFull = false;

/// knooppunt
string loginID = ConfigurationManager.AppSettings["WebServiceLogin"];
string password = ConfigurationManager.AppSettings["WebServicePass"];


//A. The m_SecurityService object is created and initialised
Security securityService = new Security();
securityService.CookieContainer = new System.Net.CookieContainer();


string challenge = securityService.InitializeLogin(loginID);
string pwd = password;
string response = pwd + challenge;


System.Security.Cryptography.SHA1CryptoServiceProvider SHA1 = new System.Security.Cryptography.SHA1CryptoServiceProvider();
SHA1.Initialize();
byte[] hash = SHA1.ComputeHash(System.Text.Encoding.Default.GetBytes(response));

System.Text.StringBuilder builder = new System.Text.StringBuilder();
foreach (byte b in hash)
    builder.Append(b.ToString("x2"));

//2. A login is done with the m_SecurityService object
if (securityService.Login(builder.ToString()))
{
    string ssoToken = Request.QueryString["SSOTOKEN"];
    string ssoID = Request.QueryString["SSOID"];
    if (!String.IsNullOrEmpty(ssoToken) && !String.IsNullOrEmpty(ssoID))
    {
        // Check with webserice if the token is valid.
        Knooppunt.SSO.GenericSSO sso = new Knooppunt.SSO.GenericSSO();
        sso.CookieContainer = securityService.CookieContainer;
        try
        {
            if (sso.validateSSOToken(Convert.ToInt32(ssoID), ssoToken))
            {
                loginSuccessFull = true;
                FormsAuthentication.RedirectFromLoginPage("default user", false);
            }
        }
        catch
        { }
    }
}

最佳答案

如果它真的是一个网络服务，你应该使用 Windows Communication Foundation生成代理并进行调用。它使很多代码变得非常非常容易。

老实说，看起来用于连接到您正在使用的 Web 服务(SSO？)的包非常不标准，只不过是从 HttpWebRequest 派生的。，这是非常低级的，而且使用起来太复杂。

如果您要保护自己的 Web 服务(并且通过 HTTP channel 公开它)，最简单的方法是为您的主机获取数字证书，然后使用基于 HTTPS 的基本 HTTP 身份验证。

您还可以使用 WS-Security specifications 的其他方面(例如，对消息进行编码等)以保护您的服务。

请注意，WCF 支持所有这些选项，因此您不必开箱即用地进行任何编码，您也可以将其托管在 IIS 中。

一个很好的 WCF 初学者引用是 Michelle Bustamante's "Learning WCF: A Hands-On Guide" .

之后，对于更高级的 WCF 内容(特别是如果您想了解围绕 WCF 和 WS-* 中的安全性的概念)，我强烈推荐 "Programming WCF Services" by Juval Lowy .

关于c# - 保护网络服务的最佳方式是什么？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/2271875/

24

4

0

文章推荐： c# - WPF 中的键绑定(bind)

文章推荐： c# - LDIF 解析器 (C#)

文章推荐： python - 如何在x轴上以正确的频率绘制信号的FFT？

wcf - .NET RIA 服务/WCF 服务
我们正在创建一个 n 层 Silverlight LOB 应用程序，并且正在考虑使用 .NET RIA 服务。我们不清楚这与我们当前的 WCF 服务 API 的关系在哪里。我们当前的架构是: 银光
docker - docker-compose up <服务>无法正确启动<服务>
上下文:我在celery + rabbitmq堆栈上有一个主工作系统。系统已docker化(此处未提供worker服务) version: '2' services: rabbit:
c# - 托管 Web 服务/WCF 服务？
我是 Windows Azure 新手，我正在尝试将我的 Web 应用程序部署到 Windows Azure。在我的应用程序中，我使用了一些 Web 服务，现在我想知道如何在 Windows Azur
c# - Web 服务/wcf 服务，返回数据集是否更好？
因此，根据我对服务的了解，自定义对象似乎是写入服务以返回数据的方式。如果我正在编写将用于 1) 填充数据库或 2) 为网站提供信息的服务，是否有返回数据集/数据表而不是包含所有这些的自定义对象列表的用
json - Azureml Web 服务 - 如何从实验创建供移动应用程序使用的 Rest 服务？
我在 google 和 stackoverflow 上都找过答案，但似乎找不到。我正在尝试将 azure 实验的输出获取到应用程序。我使用 ibuildapp 和谷歌表单制作了该应用程序。如何使用 g
kubernetes - 服务 "kubernetes"已删除 - 意外删除了 kubernetes 服务
我不小心删除了 kubernetes svc: service "kubernetes" deleted 使用: kubectl delete svc --all 我该怎么办？我只是想删除服务，以便
php - Android Web 服务 - "poke"Web 服务
我正在努力确定解决网络服务问题的最有效方法。我的情况:我正在开发一个 Android 应用程序，它通过 Web 服务从 mysql 数据库(在我自己的服务器 PC 上)存储和检索数据。用户按下提交按
android - 什么时候绑定(bind)服务，什么时候不绑定(bind)服务
我一直在翻阅 Android 文档，我很好奇。什么时候绑定(bind)服务而不是不绑定(bind)服务？它提供了哪些优点/限制？最佳答案 When would you bind a service
hadoop - Hive 服务、HiveServer2 和 MetaStore 服务？
我试图从架构的角度理解 hive，我指的是 Tom White 关于 Hadoop 的书。我遇到了以下关于配置单元的术语:Hive Services、hiveserver2、metastore 等。
c# - Windows 服务(托管 WCF 服务)在启动时立即停止
我的问题:安装服务后我无法导航到基地址，因为服务不会继续运行(立即停止)。我需要在服务器或我的机器上做些什么才能使 baseAddress 有效吗？背景:我正在尝试学习如何使用 Windows 服务
ASP.NET Web 服务(复数)或具有多个类的 Web 服务
我正在努力就 Web 服务的正确组织做出决定。我应该有多个 ASMX 来代表 Web 服务中的不同功能，还是应该有一个 ASMX？如果我有多个 ASMX，这不构成多个 Web 服务吗？如果我只有一
Azure 服务 WebRole 中托管的 WCF REST 服务 : AccessControlService?
我正在从事一个在 azure 平台上提供休息服务的项目。该服务由 iPhone 客户端使用，这是选择其余方法的重要原因之一。我们希望通过 AccessControlService(ACS) 并使用
ionic-framework - ionic 服务 VS ionic 服务 -c
我是 Ionic 新手，正在使用 Ionic 3.9.2 我有几个终端命令来为我的 ionic 应用程序提供服务，但是，我没有发现这两个命令之间有任何区别。 ionic serve 和 ionic s
Java Web 服务。如何在 Java 控制台应用程序中创建 Web 服务？
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 8 年前。 Improve this ques
web-services - 标准 Web 服务 v 安全 Web 服务
作为项目的一部分，我期待着问这个问题。我过去有开发和使用 Web 服务的经验，并且非常熟悉这些服务。但是，有人告诉我，作为下一个项目的一部分，我将需要使用“安全”的 Web 服务。您能否提供一些见解，
cordova - 如何使用 Apache Cordova 调用 wcf 服务/Web 服务
我浏览了很多关于这个问题的信息，但找不到解决方案。这里的问题是，我想使用 Apache Cordova 和 Visual Studio 连接到 wcf。因此，如果有人找到合适的工作解决方案，请发布链接
c# - 从 jquery/javascript 调用 Windows 服务 wcf 服务
我在 Windows 服务中托管了一个 WCF(从 MS 网站示例中选取)，我可以使用 SOAP UI 访问和调用方法。但是，当我尝试使用 jquery 从 Web 应用程序调用相同的方法时，我不断收
php - 如何保护 web 服务，以便只有我的 android 应用程序可以使用我的 web 服务
我们构建了一个 Android 应用程序，它从 Android 向我的 PHP 服务器发送 HTTP 请求。作为响应，Web 服务将 JSON 对象发送到 Android 应用程序以显示结果。就像其
android - 如何将值传递给 Android 应用程序中的 Soap 服务(ASMX 服务)中的标志枚举参数
我想在 android 应用程序中调用 soap web 服务，它需要一个枚举值作为参数，它是一个标志枚举。如何从 Android 应用程序将一些值作为标志枚举传递给此 Web 服务方法？我使用 K
android - 无法在模拟器上运行 Google Play 服务(需要更新 Google Play 服务)
我尝试在模拟器上安装 Google Play。我已按照 Google Dev Site 中的说明进行操作. 使用 ADV 管理器似乎没问题，设备的目标是 Google API 版本 22，但是当我运行

首页

博学

6Ren·AI

商城

c# - 保护网络服务的最佳方式是什么？