Chúng tôi đang tìm cách bảo mật một loạt các dịch vụ web ASP.Net 2.0 .asmx. Cái sẽ lưu trữ các dịch vụ web đã được xác thực.
Có thể bảo mật các dịch vụ web bằng cách sử dụng xác thực biểu mẫu không? Ưu và khuyết điểm và những cách có thể khác để đạt được điều này là gì. Chúng tôi chắc chắn không muốn chuyển tên người dùng/pwd hoặc mã thông báo trong mỗi cuộc gọi phương thức web.Có thể bảo mật dịch vụ web bằng Xác thực biểu mẫu không?
Trả lời
Điều có xác thực biểu mẫu được thiết kế cho mọi người, nơi dịch vụ web được thiết kế để ứng dụng khách sử dụng. Mặc dù có thể thực hiện xác thực như thế này, nhưng đó là cách suy nghĩ sai lầm.
Mức độ bảo mật cần thiết rõ ràng phụ thuộc vào độ nhạy của dữ liệu mà bạn đang làm việc, nhưng tôi sẽ giả định ít nhất một chút nhạy cảm (nhưng ít hơn giao dịch ngân hàng). Bạn có lẽ có thể sử dụng SSL và đi qua một tên người dùng và mật khẩu như jle đề nghị, trong khi tôi đã gõ này, hoặc bạn có thể yêu cầu một khóa api giống như flickr nào.
Một tùy chọn bảo mật khác là chỉ chuyển tên người dùng và mật khẩu một lần (và với bảo mật của ssl) và có đưa ra một mã thông báo có giá trị trong một khoảng thời gian. Điều này có lợi ích của việc bảo vệ thông tin mật khẩu, và tránh các chi phí liên tục của ssl.
Như đã đề cập, tính năng này phụ thuộc rất nhiều vào thông tin nhạy cảm mà bạn đang cố gắng bảo mật.
Có thể, nhưng bạn sẽ cần chuyển hướng người dùng đến trang đăng nhập. Một tùy chọn khác để chuyển tên người dùng/pw là sử dụng dịch vụ web qua ssl. Nếu bạn mã hóa kết nối, xác thực cơ bản có thể được sử dụng không có vấn đề gì.
Bạn sẽ có thể sử dụng WSE để bảo mật dịch vụ của mình bằng cách sử dụng xác thực biểu mẫu - mặc dù cá nhân tôi chưa bao giờ phải làm điều đó.
Dưới đây là một số tài nguyên sử dụng WSE:
- http://aleemkhan.wordpress.com/2007/09/18/using-wse-30-for-web-service-authentication/
- http://msdn.microsoft.com/en-us/library/aa480575.aspx
Để không sử dụng WSE bạn cần phải thực hiện một cái gì đó như thế này như một số các presponders khác đã ám chỉ , mặc dù tôi không chắc nó đáng tin cậy như thế nào:
WSE đã lỗi thời. Không sử dụng nó trừ khi bạn không có sự lựa chọn nào cả.
Hầu như tất cả các chức năng của WSE đều được WCF triển khai tốt hơn. Những khả năng còn lại, những thứ không được WCF thực hiện, là lỗi thời (ví dụ DIME).
- 1. Yêu cầu dịch vụ web bảo mật
- 2. Apache CXF: Cách bảo mật dịch vụ web JAX-RS với xác thực cơ bản
- 3. Tạo các dịch vụ web bảo mật với ColdFusion
- 4. Xác thực dịch vụ web bằng cách sử dụng OpenID
- 5. Đảm bảo dịch vụ web?
- 6. Bảo mật mùa xuân đảm bảo lớp dịch vụ, lớp dịch vụ web hoặc cả hai?
- 7. Bảo mật một dịch vụ web để nó chỉ có thể được gọi bằng một ứng dụng Android cụ thể
- 8. Cách bảo mật dịch vụ web trong .net?
- 9. Mật khẩu bảo vệ dịch vụ REST?
- 10. WCF: Dịch vụ xác thực hoặc bảo mật dựa trên mã thông báo?
- 11. Spring MVC + Đăng nhập bảo mật mùa xuân bằng dịch vụ web còn lại
- 12. Dịch vụ web SSL: Không thể tạo kênh bảo mật SSL/TLS
- 13. Bảo mật dịch vụ web với SAML (SSO) - Cách thực hiện?
- 14. Dịch vụ web ASP.NET bên trong Ứng dụng xác thực biểu mẫu
- 15. Xác thực bảo mật WCF
- 16. Cách thêm tham chiếu dịch vụ trong studio trực quan 2008 xác thực đối với dịch vụ web được bảo vệ bằng mật khẩu
- 17. Xác thực lẫn nhau với các dịch vụ web
- 18. Xác thực biểu mẫu Javascript với mật khẩu xác nhận
- 19. Không thể gọi dịch vụ web với xác thực cơ bản bằng WCF
- 20. Xác thực cơ bản IIS7 để bảo vệ trang web sử dụng xác thực mẫu
- 21. Có thể gọi dịch vụ web bằng javascript Indesign không?
- 22. AntiForgeryToken không có xác thực biểu mẫu
- 23. Dịch vụ web trích xuất thực thể
- 24. Xuân cung cấp dịch vụ xác thực bảo mật tuỳ chỉnh ldap
- 25. Bảo mật & xác thực: SSL vs SASL
- 26. Ứng dụng khách Android cho dịch vụ web REST với bảo mật cơ bản
- 27. Xác thực biểu mẫu có hoạt động với Cân bằng tải trên web không?
- 28. Dịch vụ WCF có phải là dịch vụ web không?
- 29. Dịch vụ xác minh mật khẩu xác minh
- 30. Xác thực sẽ không gửi biểu mẫu bằng séc ajax