Wie sichere ich einen Webservice in .net?

Question

Ich habe einen einfachen .NET Webservice geschrieben, der auf einem anderen Server gehostet wird. Ich weiß es nicht wirklich. Jetzt hatte ich nur seine URL und ich versuchte Webrequest und Webresponse-Methode zu verwenden, um auf diesen Webdienst über HTTP POST zuzugreifen. Nun möchte ich wissen, ob es irgendeinen Weg gibt, den Webservice-Zugang zu sichern, so dass niemand es ausnutzen kann?

zum Beispiel:

http://example.com/Verify/Verification.asmx/Verify?AccountNumber=3223&ProductName=876

Nun, dies sind alle Parameter erforderlich, um diese Webservice aufzurufen. Als ob jetzt jemand es ausnutzen könnte. Wie kann ich es also sichern? Obwohl ich vorhabe, SSL zu erhalten, und dieses ganze Ding geschieht von Server zu Server, nicht von Klient zu Bediener?

Answer 1

Sie können einen Serviceschlüssel (ähnlich wie Amazon WS) im Autorisierungsheader der Webanfrage übergeben, der mit einem Algorithmus Ihrer Wahl verschlüsselt werden könnte, der dann am Serviceende entschlüsselt wird und nur mit der Ausführung if fortfährt der Schlüssel paßt

Siehe Abschnitt 14.8 in der folgenden URL

http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

Answer 2

Leider haben Sie nicht viele Optionen, da Sie die alte ASMX Web-Service-Technologie verwendet haben. Die einzige Möglichkeit, jemanden mit ASMX-Webdiensten über das Internet zu authentifizieren, ist im Grunde genommen "do it yourself".

Wenn ich dies tun müsste, würde ich WCF verwenden und mir einige Optionen geben. Wenn ich WCF nicht verwenden könnte, würde ich einen benutzerdefinierten HTTP-Header erstellen, um den Benutzernamen und das Passwort (über SSL!) Zu übergeben und sie auf dem Server zu authentifizieren. Alternativ würde ich Zertifikate auf dem Client verwenden und verlangen, dass sie an den Server gesendet werden. IIS kann sogar Client-Zertifikate in Windows-Identitäten auf dem Server umwandeln.

Answer 3

In der Regel, was Sie verwendet haben, um .NET-Webdienste vor WCF zu sichern, war Microsofts Web Service Extensions (WSE), jetzt Version 3.0. Ich habe es erfolgreich in einem handelsüblichen Produkt verwendet, und es ist ziemlich gut, da es auf den W3C ws * Standards basiert. Es ist möglich, mit denen von .NET-Clients (offensichtlich), aber auch von Java-Clients erfolgreich zu interoperieren, wenn Sie Apache Axis verwenden. Download unter:

http://www.microsoft.com/downloads/details.aspx?FamilyID=018a09fd-3a74-43c5-8ec1-8d789091255d&displaylang=en

Answer 4

Wir haben eine ganze Reihe von Web-Services zu tun und sie zu sichern wir haben soeben einen Benutzernamen und Passwort auf unsere Anfrage Objekt. In Ihrem Fall könnten Sie einfach zwei neue Parameter für einen Benutzernamen und ein Passwort hinzufügen, oder einfach nur einen hinzufügen und so etwas wie einen Authentifizierungscode verwenden, den Sie so komplex oder so einfach wie Sie möchten.

Einige Ideen sind etwas einfaches wie eine Liste von GUIDs, die akzeptable Schlüssel für eine Verschlüsselung der IP-Adresse der anfordernden Server sind, so dass der Authentifizierungscode nur mit der vom Webdienst verifizierten IP-Adresse funktioniert.

Answer 5

Sie können auch ein Token erstellen und dieses Tokenid als Parameter an jede Webmethode übergeben. Sie können das Token in der Hashtabelle pflegen und aus der Hashtabelle entfernen, sobald die Sitzung abgebrochen wurde.

Das Token muss bei erfolgreicher Anmeldung generiert werden. Um eine Token-ID zu generieren, empfehle ich die Verwendung von RNGCryptoServiceProvider.