5.6.1 Web服务身份验证

作者: 马恒太等著出处:电子工业出版社博文视点　2007-12-21 10:59　砖好评论条　进入论坛

阅读提示：《Web服务安全》第5章详细的介绍了Web服务安全认证和访问控制机制。本文主要介绍的是Web服务身份验证。

5.6 Web服务访问控制实践

5.6.1 Web服务身份验证

在Windows系统中，Web服务访问控制还没有独立的实现方式，它和IIS的访问控制绑定在一起，主要是通过身份验证的方式实现。

1．集成Windows身份验证

集成身份验证是NTLM，即NT局域网管理，它产生的用户名和密码都使用hash运算保护。
编写一个Web服务，代码如下：

[WebMethod]
public string HelloStr(string name)
{
return "Hello "+name;
}

配置该IIS需要集成Windows身份验证。

调用该服务，同时加上身份验证（使用的用户名为“test”，对应的口令为“test001”），代码如下：

WebTest.Service1 webtest=new WSApplication.WebTest.Service1();  
//生成一个新的调用服务类型
NetworkCredential credential=new NetworkCredential("test","test001"," ");
webtest.Credentials=credential;   //带上身份验证信息
string ret=webtest.HelloStr("张三");
MessageBox.Show(ret);

编译执行以上代码，即可实现集成身份验证。

注意：这样的调用方式只适合Windows系统，即调用服务者必须是Windows系统；如果是UNIX系统，则不会成功。

2．基本身份验证

基本过程和集成Windows身份验证方式不同的是，其用户名和密码都使用明文方式传输。

基本验证方法是使用较广泛的一种，它是用来收集用户名和密码信息的业界标准方法。

使用基本验证的优点是其属于HTTP规格的一部分，并且支持大部分的浏览器；其缺点是使用基本验证以未加密的格式来传输密码，浏览器只对该验证信息采取了base64编码而已。

3．SOAP头验证信息

如果用户需要自己定义的验证信息，可以通过在SOAP头中加入相关的信息，下面介绍实现的几种情况。

（1）Web服务处理SOAP头信息

Web服务处理SOAP头信息即在Web服务中定义处理SOAP头信息的处理程序。

【例14】 Web服务程序要求用户输入用户名和口令，同时将用户名和密码返回给服务请求者。
服务程序如下：

[SoapHeader("myHeader")]
[WebMethod]
public string HelloWorld()
{
return "hello :"+myHeader.UserID+myHeader.UserPW;
}
public class MyHeader: System.Web.Services.Protocols.SoapHeader
{
private string _UserID=string.Empty;   //用户名
private string _UserPW=string.Empty;   //用户密码
public MyHeader()
{
public string UserID
{
get{return _UserID;}
set{_UserID=value;}
}
public string UserPW
{
get{return _UserPW;}
set{_UserPW=value;}
}
}

请求程序如下：

private void menuItem4_Click(object sender, System.EventArgs e)
{
MessageBox.Show("Soap头测试实验！");
string ret;
SoapHeader.MyHeader myHeader=new WSApplication.SoapHeader. MyHeader();
myHeader.UserID="yanxuexiong";
myHeader.UserPW="zhangqiao";
SoapHeader.SoapHeader headertest=new WSApplication.SoapHeader. 
SoapHeader();
headertest.MyHeaderValue=myHeader;
ret=headertest.HelloWorld();
MessageBox.Show(ret);
}

客户端的执行结果如图5-17所示。

图5-17 客户端执行结果

（2）手工添加SOAP头基本原理

上面的情况适合于Web服务程序来处理SOAP头消息，有时需要用户手工添加相关的SOAP头信息。

当添加一个服务引用时，就会自动生成一个reference.cs的文件，这个文件即为与服务交互的客户端代理程序。如果需要发送相关的SOAP头，那么在该文件中就会有如下与SOAP头相关的定义。

① SOAP头类定义。即定义一个SOAP头结构，主要包括头中包含的元素，该类从System.Web.Services. Protocols.SoapHeader类继承而来。例如：

//添加的自己的SOAP头结构
public class SoapHeader1 :System.Web.Services.Protocols.SoapHeader
{
public string UserID;
public string PassWord;
}

② SOAP头变量声明。即在reference.cs生成的服务对象类中添加一个头变量，该变量是定义的头类的一个对象。例如：

public SoapHeader1 soapheader1;  //手工加上的SOAP头

③ SOAP头属性声明。该操作即通知客户端代理，在发送SOAP请求消息时带上相关的头消息。例如：

[System.Web.Services.Protocols.SoapHeaderAttribute("soapheader1")]  
     //添加头的声明

如果需要添加多个头，则需要多行声明，每一行声明一个头属性。

（3）简单实例

引用服务http:// 192.192.192.73 /WSSoapTest2 /SoapHeaderTest2.asmx，该服务SOAP消息中不需要SOAP头。通过上面的基本步骤，即可添加相关的SOAP头。修改后的代码如下：

//-------------------------------------------------------------------

// <autogenerated>

// This code was generated by a tool.

// Runtime Version: 1.1.4322.2032

// Changes to this file may cause incorrect behavior and will be lost

// if the code is regenerated.

// </autogenerated>

//-------------------------------------------------------------------

// 此源代码是由 Microsoft.VSDesigner 1.1.4322.2032 版自动生成

namespace WSApplication.SoapTest2 {

using System.Diagnostics;

using System.Xml.Serialization;

using System;

using System.Web.Services.Protocols;

using System.ComponentModel;

using System.Web.Services;

/// <remarks/>

[System.Diagnostics.DebuggerStepThroughAttribute()]

[System.ComponentModel.DesignerCategoryAttribute("code")]

[System.Web.Services.WebServiceBindingAttribute(Name="Service1Soap", Namespace="http://tempuri.org/")]

public class Service1:System.Web.Services.Protocols.SoapHttpClientProtocol{

public SoapHeader1 soapheader1; //手工添加的SOAP头

/// <remarks/>

public Service1() {

this.Url = "http://192.192.192.73/WSSoapTest2/SoapHeaderTest2. asmx";

}

/// <remarks/>

///

[System.Web.Services.Protocols.SoapHeaderAttribute("soapheader1")] //添加的头声明

[System.Web.Services.Protocols.SoapDocumentMethodAttribute ("http://tempuri.org/HelloWorld", RequestNamespace="http:// tempuri.org/", ResponseNamespace="http://tempuri.org/", Use=System. Web.Services.Description. SoapBindingUse.Literal, ParameterStyle= System.Web.Services.Protocols. SoapParameterStyle.Wrapped)]

public string HelloWorld() {

object[] results = this.Invoke("HelloWorld", new object[0]);

return ((string)(results[0]));

}

/// <remarks/>

public System.IAsyncResult BeginHelloWorld(System.AsyncCallback callback, object asyncState) {

return this.BeginInvoke("HelloWorld", new object[0], callback, asyncState);

}

/// <remarks/>

public string EndHelloWorld(System.IAsyncResult asyncResult) {

object[] results = this.EndInvoke(asyncResult);

return ((string)(results[0]));

}

（4）效果分析

添加SOAP头结构并不会影响对服务的请求结果，如果对方服务没有相应的头处理程序，则忽略这些头结构。

通过监视程序可以看到发送的请求中已经包含了添加的SOAP头，如下：

<?xml version="1.0" encoding="utf-8"?>

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http:// www.w3.org/2001/XMLSchema">

<soap:Header>

<UserID>yanxuexiong</UserID>

<PassWord>zhangqiao</PassWord>

</SoapHeader1>

</soap:Header>

<soap:Body>

</soap:Body>

</soap:Envelope>

【责任编辑：董书 TEL：（010）68476606】

回书目 上一节 下一节

关于 Web 服务验证策略 Web服务安全的

文章

博文

帖子

· 参考文献(12/25)

· 6.4.4 针对Web服务支撑环境的攻击技术(12/25)

· 6.4.3 Web服务攻击技术(12/25)

· 6.4.2 信息收集及分析技术(12/25)

· 6.4.1 Web服务攻击技术分类(12/25)

· 服务器类型

· WEB站点构建维护

· 全球最大CDN服务商：中国网络攻击量世界第一

· LINUX OpenVPN使用User和Pass验证登录

· 企业服务器五剑客

· 100m独享服务器租用◆1G独享服务器机柜租用◆Q..

· 远程服务器未响应连接尝试

· 【100M独享服务器便宜租用】【高性能稳定带宽..

· 台湾服务器特价啦！

· “电信”“网通”[服务器租用]-雄厚优质资源-..

专题

我也说两句

叫好

拍砖

中国最大的网络技术网站 ·
技术成就梦想

·假期读书充电

· 第六章　你能帮我吗？..
· Linux笔试面试题选摘测..
· 08年5月软考网管上午真..
· 性能测试从零开始目录
· 08年5月软考网工上午真..
· 上周拒绝服务攻击（DDo..

· 08年5月各大网上书店及..
· 2008年5月24日软考试题..
· 软件设计师专家临考模..
· 上周网络管理员专家自..
· 网络工程师自测获奖名..
· 08年4月各大网上书店及..

排行榜

·假期读书充电 (查看6738次)
·1.2 网络定义 (查看1197次)
·《网管员必读—网络应用》自测.. (查看1090次)
·SQL Server入门到精通技术自测.. (查看1088次)
·历次技术自测获奖网友详细信息 (查看1040次)

·SQL Server入门到精通技术自测试题答案 (8个砖)
·超级网管员——网络应用技术自测试题答案 (6个砖)
·历次技术自测获奖网友详细信息 (4个砖)
·网管员全真面试题自测获奖结果及答案解析 (4个砖)
·免费讲座：搜索引擎营销打造成功网站 (3个砖)

·假期读书充电 (13个好)
·SQL Server入门到精通技术自测试题答案 (4个好)
·Visual C++数字图像处理开发入门与编程实践 (3个好)
·路由器配置自测获奖结果及答案解析 (3个好)
·《游戏开发核心技术-剧本与角色创造》阅读不枯燥 (3个好)

·Ajax+JSP网站开发从入门到精通 (06月)
·ASP.NET Ajax网站开发从入门到精通 (06月)
·非常网管——网络管理从入门到精通 (06月)
·ANT IN ACTION 第2版中文版 (06月)
·欺骗的艺术 (06月)

·ARP协议及欺骗原理
·独家体验：在西三环亲历北京免费无..

· 周末病毒预报：视频宝..
· NAC精要指南:什么是网..
· 布线测试中的常见问题..
· ASP.NET Ajax网站开发..
· 网管员必读：网络链路..
· SQL Server 2008中不推..
· 路由器故障排除实例讲解
· Cisco 认证考试费用全..

· 微软针对XP SP2的远程..
· 山东临沂网通联合公安..
· Cisco考试费用全线涨价..
· 企业无线网络设置10大..
· Windows Server 2003网..
· 上海宣判三起网络知识..
· 微软Sever 2008自带虚..
· 金山信息安全技术公司..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖