欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

ASP.NET中Webservice安全 实现访问权限控制

程序员文章站 2023-12-09 18:25:09
一、 概述:   web services是由企业发布的完成其特定商务需求的在线应用服务,其他公司或应用软件能够通过internet来访问并使用这项在线服务。它逻辑性...

一、 概述:

  web services是由企业发布的完成其特定商务需求的在线应用服务,其他公司或应用软件能够通过internet来访问并使用这项在线服务。它逻辑性的为 其他应用程序提供数据与服务.各应用程序通过网络协议和规定的一些标准数据格式(http,xml,soap)来访问web service,通过web service内部执行得到所需结果。由于它通过internet进行调用,必然存在网络用户都可以调用的安全问题。如何实现webservice的访问 权限限制,是使用webservice用户使用面临重要的问题,下文就给两种方案,从浅到深解决上面问题。

二、基于“soapheader” 特性的简单方法

1." soapheader" 概述  

soap 标头提供了一种方法,用于将数据传递到 xml web services 方法或从 xml web services 方法传递数据,条件是该数据不直接与 xml web services 方法的主功能相关。 多数情况下用来传递用户身份验证信息,当然它的作用远不止如此,有待于在实际应用中发掘。

2.soapheader实现用户身份验证代码

using system;
using system.collections.generic;
using system.linq;
using system.web;
using system.web.services;
using system.web.services.protocols;
namespace usercenter
{
  public class mysoapheader :soapheader
  {
    public string username
    {
      get;
      set;
    }
    public string pwd
    {
      get;
      set;
    }
  }
  /// <summary>
  /// mymath 的摘要说明
  /// </summary>
  [webservice(namespace = "http://tempuri.org/")]
  [webservicebinding(conformsto = wsiprofiles.basicprofile1_1)]
  [system.componentmodel.toolboxitem(false)]
  // 若要允许使用 asp.net ajax 从脚本中调用此 web 服务,请取消对下行的注释。
  // [system.web.script.services.scriptservice]
  public class mymath : system.web.services.webservice
  {
    public mysoapheader sheader;
    [webmethod]
    public string helloworld()
    {
      return "hello world";
    }
    [webmethod]
    [soapheader("sheader")]
    public string add(int x, int y)
    {
      if (sheader.username == "test" && sheader.pwd == "test")
      {
        return (x + y).tostring();
      }
      else
      {
        return null;
      }
    }
  }
}

3.缺点分析:

(1)服务逻辑和用户权限验证逻辑混和,加大程序理解复杂度。
(2)权限逻辑重用性不高

二、基于“soapextensionattribute” 特性的方法

1.soapextensionattribute与soapextension概述

soapextension和soapextensio。attribute两个类用于控制webservice序列化和反序列化的一般过程,可对webservice进行压缩和日志等功能进行控制.

2.实现代码 

using system;

using system.collections.generic;

using system.linq;

using system.web;

using system.web.services;

using system.web.services.protocols;

namespace xmlclass1.class15.content

{

  [attributeusage(attributetargets.method)]

  public class myextensionattribute : soapextensionattribute

  {

    int _priority = 1;

    public override int priority

    {

      get { return _priority; }

      set { _priority = value; }

    }

    public override type extensiontype

    {

      get { return typeof(myextension); }

    }

  }

  public class myextension : soapextension

  {

    //这个override的方法会被调用四次

    //分别是soapmessagestage beforeserialize,afterserialize,beforedeserialize,afterdeserialize

    public override void processmessage(soapmessage message)

    {

      if (message.stage == soapmessagestage.afterdeserialize)//反序列化之后处理

      {

        bool check = false;

        foreach (soapheader header in message.headers)

        {

          if (header is mysoapheader)

          {

            mysoapheader myheader = (mysoapheader)header;

            if (myheader.name == "admin" || myheader.password == "admin")

            {

              check = true;

              break;

            }

          }

        }

        if (!check)

          throw new soapheaderexception("认证失败", soapexception.clientfaultcode);

      }

    }

    public override object getinitializer(type type)

    {

      return gettype();
       }

    public override object getinitializer(logicalmethodinfo info, soapextensionattribute attribute)

    {

      return null;

    }

    public override void initialize(object initializer)

    {

    }

  }

  public class mysoapheader : soapheader

  {

    string _name;

    string _password;

    public string name

    {

      get { return _name; }

      set { _name = value; }

    }

    public string password

    {

      get { return _password; }

      set { _password = value; }

    }

  }

  /// <summary>

  /// headersoap2 的摘要说明

  /// </summary>

  [webservice(namespace = http://tempuri.org/)]

  [webservicebinding(conformsto = wsiprofiles.basicprofile1_1)]

  [system.componentmodel.toolboxitem(false)]

  // 若要允许使用 asp.net ajax 从脚本中调用此 web 服务,请取消对下行的注释。

  // [system.web.script.services.scriptservice]

  public class headersoap2 : system.web.services.webservice

  {

     public mysoapheader header;

    [webmethod]

    [myextensionattribute]

    [soapheader("header", direction = soapheaderdirection.in)]

    public string checkheader()

    {

      //业务逻辑.

      return "something done";

    }

  }
}

以上就是webservice的安全设置全部内容,希望能给大家一个参考,也希望大家多多支持。