Chúng tôi đang tìm cách bảo mật một loạt các dịch vụ web ASP.Net 2.0 .asmx. Cái sẽ lưu trữ các dịch vụ web đã được xác thực.
Có thể bảo mật các dịch vụ web bằng cách sử dụng xác thực biểu mẫu không? Ưu và khuyết điểm và những cách có thể khác để đạt được điều này là gì. Chúng tôi chắc chắn không muốn chuyển tên người dùng/pwd hoặc mã thông báo trong mỗi cuộc gọi phương thức web.Có thể bảo mật dịch vụ web bằng Xác thực biểu mẫu không?
Điều có xác thực biểu mẫu được thiết kế cho mọi người, nơi dịch vụ web được thiết kế để ứng dụng khách sử dụng. Mặc dù có thể thực hiện xác thực như thế này, nhưng đó là cách suy nghĩ sai lầm.
Mức độ bảo mật cần thiết rõ ràng phụ thuộc vào độ nhạy của dữ liệu mà bạn đang làm việc, nhưng tôi sẽ giả định ít nhất một chút nhạy cảm (nhưng ít hơn giao dịch ngân hàng). Bạn có lẽ có thể sử dụng SSL và đi qua một tên người dùng và mật khẩu như jle đề nghị, trong khi tôi đã gõ này, hoặc bạn có thể yêu cầu một khóa api giống như flickr nào.
Một tùy chọn bảo mật khác là chỉ chuyển tên người dùng và mật khẩu một lần (và với bảo mật của ssl) và có đưa ra một mã thông báo có giá trị trong một khoảng thời gian. Điều này có lợi ích của việc bảo vệ thông tin mật khẩu, và tránh các chi phí liên tục của ssl.
Như đã đề cập, tính năng này phụ thuộc rất nhiều vào thông tin nhạy cảm mà bạn đang cố gắng bảo mật.
Có thể, nhưng bạn sẽ cần chuyển hướng người dùng đến trang đăng nhập. Một tùy chọn khác để chuyển tên người dùng/pw là sử dụng dịch vụ web qua ssl. Nếu bạn mã hóa kết nối, xác thực cơ bản có thể được sử dụng không có vấn đề gì.
Bạn sẽ có thể sử dụng WSE để bảo mật dịch vụ của mình bằng cách sử dụng xác thực biểu mẫu - mặc dù cá nhân tôi chưa bao giờ phải làm điều đó.
Dưới đây là một số tài nguyên sử dụng WSE:
Để không sử dụng WSE bạn cần phải thực hiện một cái gì đó như thế này như một số các presponders khác đã ám chỉ , mặc dù tôi không chắc nó đáng tin cậy như thế nào:
WSE đã lỗi thời. Không sử dụng nó trừ khi bạn không có sự lựa chọn nào cả.
Hầu như tất cả các chức năng của WSE đều được WCF triển khai tốt hơn. Những khả năng còn lại, những thứ không được WCF thực hiện, là lỗi thời (ví dụ DIME).