WebService基於SoapHeader實現安全認證[webservice][.net][安全][soapheader]

 摘 自: http://blog.sina.com.cn/s/blog_72b7a82d0100yyp8.html

 

WebService基於SoapHeader實現安全認證[webservice][.net][安全][soapheader]

 

本文僅提供通過設置SoapHeader來控制非法用戶對WebService的調用，如果是WebService建議使用WSE3.0來保護Web服務，如果使用的是Viaual Studio 2008可以使用WCF，WCF里面提供了更多的服務認證方法。以下提供一種基於SoapHeader的自定義驗證方式。

 

 

 

1.首先要自定義SoapHeader,須繼承System.Web.Services.Protocols.SoapHeader。

 

using System;
using System.Collections.Generic;
using System.Web;

namespace WuFrame
{

    /// <summary> 
    ///自定義的SoapHeader 
    /// </summary>  
    public class WuSoapHeader : System.Web.Services.Protocols.SoapHeader
    {
        private string userName = string.Empty;
        private string passWord = string.Empty;
        /// <summary> 
        /// 構造函數 
        /// </summary> 
        public WuSoapHeader()
        {
        }
        /// <summary> 
        /// 構造函數 
        /// </summary> 
        /// <param name="userName">用戶名</param> 
        /// <param name="passWord">密碼</param> 
        public WuSoapHeader(string userName, string passWord)
        {
            this.userName = userName;
            this.passWord = passWord;
        }
        /// <summary> 
        /// 獲取或設置用戶用戶名 
        /// </summary> 
        public string UserName
        {
            get { return userName; }
            set { userName = value; }
        }
        /// <summary> 
        /// 獲取或設置用戶密碼 
        /// </summary> 
        public string PassWord
        {
            get { return passWord; }
            set { passWord = value; }
        }
    }
}

2.添加WebService,並編寫相應代碼。

 

using System;
using System.Collections.Generic;
using System.Web;
using System.Web.SessionState;
using System.Web.Services;

using WuFrame;
using BSFW.Dao;
using BSFW.Model;
using System.Data;


namespace BSFW
{
    /// <summary>
    /// Test 的摘要說明
    /// </summary>
    [WebService(Namespace = "http://wuyf.ws/")]
    [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
    [System.ComponentModel.ToolboxItem(false)]

    public class Test : System.Web.Services.WebService
    {
        public WuSoapHeader myHeader = new WuSoapHeader();

        [WebMethod(EnableSession = true)]
        //[WebMethod] 
        [System.Web.Services.Protocols.SoapHeader("myHeader")]
        public string HelloWorld(string name)
        {
            bool isLogin = false;
            string loginMsg = string.Empty;

            if (myHeader.UserName.Equals("wu") && myHeader.PassWord.Equals("123"))
            {
                isLogin = true;
                loginMsg = "驗證成功!";
            }
            else
            {
                isLogin = false;
                loginMsg = "驗證失敗! username: " + myHeader.UserName + ", passowrd:" + myHeader.PassWord;
            }

            if (Session["name"] == null)
            {
                Session.Add("name", "");
            }
            Session["name"] = name;
            return Session["name"].ToString() + ", 驗證消息: " + loginMsg;
        }
   }

 

}

 3.客戶端調用，分別使用不設置SoapHeader與設置SoapHeader。

 

        WsTest.Test test = new WsTest.Test();
        System.Net.CookieContainer cc = new System.Net.CookieContainer();
        private void button1_Click(object sender, EventArgs e)
        {
            WsTest.WuSoapHeader header = new WsTest.WuSoapHeader();
            header.UserName = txt_User.Text.ToString();
            header.PassWord = txt_Pwd.Text.ToString();
            test.WuSoapHeaderValue = header;

            MessageBox.Show(test.HelloWorld("winformApp_" + Guid.NewGuid().ToString()));
        }

 

添加自定義SoapHeader可以成功調用WebService,否則不能調用WebService，從而實現對Web Service的非法調用。這種方法存在一定的弊端，就是在每一個WebService方法上都要進行一下驗證，如果用戶名與密碼存儲在數據庫中，每調用一次WebService都要訪問一次數據庫進行用戶名與密碼的驗證，對於頻繁調用WebService來說，數據庫壓力很大。然而少量WebService調用這種方式還是一種不錯的選擇。

 

當然可以啟用 Session 來解決以上所述的問題...