C#調用Web Service時的身份驗證

轉載：http://www.cnblogs.com/wuhenke/archive/2009/12/07/1618932.htmlhtml

C#調用Web Service時的身份驗證

        在項目開發，咱們常常會使用WebService，但在使用WebService時咱們常常會考慮如下問題：怎麼防止別人訪問個人WebService？從哪裏引用個人WebService？對於第一個問題，就涉及到了WebService是安全問題，由於咱們提供的WebService不是容許全部人能引用的，可能只容許本公司或者是經過受權的人才能使用的。那怎麼防止非法用戶訪問呢？很容易想到經過一組用戶名與密碼來防止非法用戶的調用。
       在System.Net中提供了一個NetworkCredential，經過它咱們能夠在網絡中提供一個憑證，只有得到該憑證的用戶才能訪問相應的服務的權限。在這裏咱們也使用NetworkCredential。在NetworkCredential中，咱們經過提供WebService發佈所在的服務器名稱，以及登陸服務器並調用該WebService的用戶名及密碼（在IIS中配置）。
在調用WebService時設置其Credential屬性，把上面獲得的Credential憑證賦值給它，這樣只有使用提供的用戶名及密碼才能調用WebService服務了而其餘用戶則沒法訪問，這樣就能能知足防止WebService被別人調用了。
       至於主機名，用戶名及密碼，對於B/S能夠經過webconfig來配置，對於C/S可使用應用程序配置文件。這樣就能靈活地配置了。
以下以C/S爲例來講明，首先咱們提供一個服務器網絡憑證，而後經過WebRequest來驗證鏈接是否成功。固然了，爲了保存用戶名與密碼等的安全，能夠對其進行加密等手段來保證其安全。

如下是主要源代碼：

/// <summary>
2

/// 服務器網絡憑證
3

/// </summary>
4

/// <returns></returns>
5

public static NetworkCredential MyCred()
6

{
7

string loginUser = Properties.Settings.Default.UserName;//用戶名
8

string loginPSW = Properties.Settings.Default.UserPSW;//密碼
9

string loginHost = Properties.Settings.Default.HostName;//主機名，能夠是IP地址，也能夠服務器名稱
10

NetworkCredential myCred = new NetworkCredential(loginUser,loginPSW, loginHost);
11

//NetworkCredential myCred = new NetworkCredential("username", "123456", "yourip");//"username", "123456", "yourservername"
12

return myCred;
13

}
14

/// <summary>
15

/// 驗證是否成功鏈接到服務器，若鏈接成功，則返回TRUE
16

/// </summary>
17

/// <param name="url">服務器WebService URL</param>
18

/// <returns></returns>
19

public static bool Credential(string url)
20

{
21

//定義局部變量
22

string url = G_Url;//2009-02-25 陳輝聰服務器驗證只驗證到機器
23

try
25

{
26

if (myWebResponse == null)
27

{
28

WebRequest myWebRequest = WebRequest.Create(url);//根據URL建立一個鏈接請求
29

myWebRequest.Credentials = MyCred();//獲取驗證的憑證,這是最重要的一句
30

myWebRequest.Timeout = 20000;//單位爲毫秒
31

myWebResponse = myWebRequest.GetResponse();//返回鏈接成功時的信息
33

}
34

}
35

catch (WebException wex)//沒法鏈接到服務器，多是由於服務器錯誤或用戶名與密碼錯誤
36

{
37

if (myWebResponse != null)//毀銷
38

{
39

myWebResponse.Close();
40

myWebResponse = null;
41

}
42

return false;
44

}
45

catch (Exception ex)
46

{
47

if (myWebResponse != null)
48

{
49

myWebResponse.Close();
50

myWebResponse = null;
51

}
52

return false;
54

}
56

finally
57

{
58

}
59

return true;
61

}
62

private static WS_Webasic.WS_Webasic webasic =null;//實現華WS_Webasic.WS_Webasic
64

/// <summary>
66

/// WS_Webasic初始化
67

/// </summary>
68

public static WS_Webasic.WS_Webasic WS_Webasic
69

{
70

get
71

{
72

if (webasic == null)//若webasic 爲空，則從新實例化，這樣能夠減小驗證的時間，提升效率
73

{
74

//webasic = new ZEDI.WS_Webasic.WS_Webasic();
75

//wsBool = Credential(webasic.Url);//URL改成服務器地址 2009-02-25 陳輝聰 chhuic@163.com
76

wsBool = Credential(G_Url);
77

if (wsBool == true) //服務器鏈接驗證經過
78

{
79

webasic = new WS_Webasic.WS_Webasic();//實例化
80

webasic.Credentials = MyCred();//獲得服務器鏈接憑證，這樣該WebService能夠放心的鏈接了
81

}
82

}
83

return webasic;
84

}
85

}

注：
（1）必須引用 System.Net;
（2）對WebService發訪問，在IIS裏取消匿名訪問權限，若容許匿名訪問，就沒有必須提供驗證憑證了。IIS裏怎麼取消匿名訪問權限請參照IIS相關文章，這裏不在累贅。
驗證是有時速度會比較慢，主要是由於myWebResponse = myWebRequest.GetResponse();

http://www.cnblogs.com/chhuic/archive/2009/09/28/1576050.htmlweb

2、數據庫

第2、在第一種方法的基礎上對WebService裏的方法進行加密，這裏面方法不少，下面提供一種比較經常使用的方法。在調用方法時多提供二個參數用戶加密解密用（固然了提供幾個參數看本身的須要而定）。好比有個WebService方法是根據顧客ID獲取數據庫中的顧客的詳細資料爲GetCustomerDetailByCustomerID(string custID);若是隻提供一個參數，則很容易被別人訪問調用，從而顧客資料很容易被別人獲取，所以咱們對這個方法進行加密GetCustomerDetailByCustomerID(string scustID,string custID,ecustID);這樣，只有提供正確的scustID與ecustID這二個參數才能成功調用這個方法，而對於這二個參數scustID與ecustID，則能夠經過加密方法生成一個字符串，如scustID='C39134558',ecustID='C39223525'，只有這二個參數知足必定的條件時纔算驗證經過，而對於參數來講，咱們也能夠提供一個驗證，若是scustID裏的值C39134558，前面三位必須是C39，緊跟5位13455則相加後的值18進行位操做如，對值18加一個因子，如1，則出現如下的運行：（18+1）%11==8，這樣只有最後一位爲8纔算這個參數值是符合要求的，因此隨便輸入一個參數如：C39134556,則由於不符合要求，因此驗證不能經過。在這裏即便二個參數scustID='C39134558',ecustID='C39223525'都對了，則還須要經過這二個參數的進一步的驗證才能算成功。至於這二個知足什麼要求，一種是能夠採用現有的加密機制，也能夠本身寫一個加密類來襪。上面只是舉一個簡單的例子。windows

經過上面的二個步驟，則能夠實現比較安全的WebService調用了。固然方法不少，上面只是小弟的一些經驗而已，若是博友還有更好的方法，不吝賜教。安全

http://www.cnblogs.com/chhuic/archive/2009/11/19/1606109.html服務器

3、http://www.pin5i.com/showtopic-25187.html http://www.pin5i.com/showtopic-15918.html網絡

解決方案一：經過經過SOAP Header身份驗證。

1.咱們實現一個用於身份驗證的類，文件名MySoapHeader.cs

MySoapHeader類繼承自System.Web.Services.Protocols.SoapHeader。且定義了兩個成員變量，UserName和PassWord，還定義了一個用戶認證的函數ValideUser。它提供了對UserName和PassWord檢查的功能ide

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.Services;
using System.Web.Services.Protocols;
/// <summary>
///MySoapHeader 的摘要說明
/// </summary>
public class MySoapHeader:SoapHeader
{
public MySoapHeader()
{
//
//TODO: 在此處添加構造函數邏輯
//
}
public string UserName;
public string PassWord;
public bool ValideUser(string in_UserName, string in_PassWord)
{
if ((in_UserName == "zxq") && (in_PassWord == "123456"))
{
return true;
}
else
{
return false;
}
}
}

2.下面咱們建立WebService.asmx WebService.cs代碼以下:函數

using System;
using System.Collections;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;

/// <summary>
///WebService 的摘要說明
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class WebService : System.Web.Services.WebService
{
public WebService()
{
        //若是使用設計的組件，請取消註釋如下行
       //InitializeComponent();
    }

public MySoapHeader header; ////定義用戶身份驗證類變量header
[WebMethod(Description = "用戶驗證測試")]
[System.Web.Services.Protocols.SoapHeader("header")]//用戶身份驗證的soap頭
public string HelloWorld(string contents)
{
//驗證是否有權訪問
if (header.ValideUser(header.UserName, header.PassWord))
{
return contents + "執行了";
}
else
{
return "您沒有權限訪問";
}
}
}

複製代碼post

3.客戶端建立個Default.aspx

Default.aspx .cs代碼

using System;
using System.Configuration;
using System.Data;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
com.cn1yw.WebService test = new com.cn1yw.WebService();//web引用(改爲您本身的)
com.cn1yw.MySoapHeader Header = new com.cn1yw.MySoapHeader();//web引用建立soap頭對象(改爲您本身的)
//設置soap頭變量
Header.UserName = "zxq";
Header.PassWord = "123456";
test.MySoapHeaderValue = Header;
//調用web 方法
Response.Write(test.HelloWorld("我是強"));
}
}

解決方案二：經過集成windows身份驗證。

1. 將web服務程序設爲集成windows身份驗證
2.客戶端web引用代碼

Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service實例
wr.Credentials = new NetworkCredential("guest","123"); //guest是用戶名，該用戶須要有必定的權限
lblTest.Text = wr.Add(2,2).ToString(); //調用web service方法

該方案的優勢是比較安全，性能較好，缺點是不便於移植，部署工做量大。