asp.net - Web 服务 : Secure? Asp.net

Question

我无法理解的是 Web 服务的安全性。

例如，我们正在编写一个桌面应用程序，它将与我们其中一个网站上的数据以及本地数据进行交互。虽然这些数据很敏感，但我们最不想要的是任何人调用 Web 服务。

我还没有发现任何说 Web 服务具有某种身份验证方法的东西，而且我看到人们谈论的唯一安全性是使用证书来加密消息。

我不是这方面的专家，我会很感激任何人的意见，也许还有一个链接可以简单地解释这一点。

谢谢
雅克

Answer 1

如果您使用 ASP.NET 创建响应/请求服务，您只有 3 个选项

ASMX

WCF

处理请求的普通 .NET 页面(或处理程序)

如您指定 服务 ，然后您可以在 ASMX 和 WCF 之间进行选择(您可以在我的答案中阅读 ASMX 和 WCF 之间的区别 here )

牢记这

ASMX is considered deprecated technology and replaced by WCF. So if you are going to start new development which requires exposing reusable services, WCF is the way to go.

如今，当我们需要保护服务时，有一种常见的模式，那就是使用 session key 。

该服务通常有一个登录方法，它获取一个用户和某种密码(通常是散列、加盐等)，并返回一个有时间限制的“票”(滑动或不滑动 - 意味着每次调用方法期间是否重置)，并且所有调用都需要将该票包含在 中消息正文 .

服务 API，如 Magento和其他人使用它。

或拥有 预生成 key 提供给用户/应用程序以在每次调用时使用

服务 API，如 Campaign Monitor和 MailChimp和其他人使用这个。

另一种正常的方法是在 中拥有用户和其他凭据。消息头 每时每刻。

服务 API，如 SuperOffice CRM 和其他人使用它。

这些服务都没有使用 SSL，因为我只会在我真的需要保护“线路”中的数据时使用，记住 SSL 会扩展每次调用的响应时间。

我希望这有帮助