Web Service 中的身份验证策略--使用自定义SOAP 标题

自定义SOAP头验证
最新推荐文章于 2023-10-12 14:27:32 发布
转载 最新推荐文章于 2023-10-12 14:27:32 发布 · 53 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/BoKeRen/archive/2007/05/24/758458.html

本文介绍了一种通过自定义SOAP头实现用户验证的方法,能够有效限制服务调用者的范围。文中详细展示了服务端验证逻辑及客户端调用示例。
自定义SOAP标题可以限制调用服务的用户范围
 1None.gifusing System;
 2None.gifusing System.Web;
 3None.gifusing System.Web.Services;
 4None.gifusing System.Web.Services.Protocols;
 5None.gif
 6None.gif[WebService(Namespace = "http://livebaby.cn")]
 7None.gif[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
 8None.gifpublic class Service : System.Web.Services.WebService
 9ExpandedBlockStart.gifContractedBlock.gifdot.gif{
10InBlock.gif    public SecurityHeader currentUser;
11InBlock.gif    public Service()
12ExpandedSubBlockStart.gifContractedSubBlock.gif    dot.gif{
13InBlock.gif
14InBlock.gif        //如果使用设计的组件,请取消注释以下行 
15InBlock.gif        //InitializeComponent(); 
16ExpandedSubBlockEnd.gif    }
17InBlock.gif    [WebMethod, SoapHeader("currentUser")]
18InBlock.gif    public string GetResult(string queryString)
19ExpandedSubBlockStart.gifContractedSubBlock.gif    dot.gif{
20InBlock.gif        if(ValidateUser(currentUser.UserName,currentUser.UserPass))
21ExpandedSubBlockStart.gifContractedSubBlock.gif        dot.gif{
22InBlock.gif            return "你发送的字符串是:"+queryString;
23ExpandedSubBlockEnd.gif        }
24InBlock.gif        else
25InBlock.gif            return "对不起:" + currentUser.UserName+",您不是合法的用户!";
26ExpandedSubBlockEnd.gif    }
27InBlock.gif    //检验SOAP HEADER 
28InBlock.gif    private bool ValidateUser(string user, string pass)
29ExpandedSubBlockStart.gifContractedSubBlock.gif    dot.gif{
30InBlock.gif        if (user.Equals("user"&& pass.Equals("user"))
31InBlock.gif            return true;
32InBlock.gif        else
33InBlock.gif            return false;
34ExpandedSubBlockEnd.gif    }
35ExpandedBlockEnd.gif}
36None.gif//自定义Soap Header Class
37None.gifpublic class SecurityHeader : System.Web.Services.Protocols.SoapHeader
38ExpandedBlockStart.gifContractedBlock.gifdot.gif{
39InBlock.gif    public string UserName;
40InBlock.gif    public string UserPass;
41ExpandedBlockEnd.gif}

下面是客户端的调用
 1None.gifusing System;
 2None.gifusing System.Collections.Generic;
 3None.gifusing System.ComponentModel;
 4None.gifusing System.Data;
 5None.gifusing System.Drawing;
 6None.gifusing System.Text;
 7None.gifusing System.Windows.Forms;
 8None.gif
 9None.gifnamespace SoapHeader
10ExpandedBlockStart.gifContractedBlock.gifdot.gif{
11InBlock.gif    public partial class Form1 : Form
12ExpandedSubBlockStart.gifContractedSubBlock.gif    dot.gif{
13InBlock.gif        public Form1()
14ExpandedSubBlockStart.gifContractedSubBlock.gif        dot.gif{
15InBlock.gif            InitializeComponent();
16ExpandedSubBlockEnd.gif        }
17InBlock.gif
18InBlock.gif        private void button_Invoke_Click(object sender, EventArgs e)
19ExpandedSubBlockStart.gifContractedSubBlock.gif        dot.gif{
20InBlock.gif            SoapHeader.localhost.SecurityHeader header = new SoapHeader.localhost.SecurityHeader();
21InBlock.gif            header.UserName = textBox_User.Text;
22InBlock.gif            header.UserPass = textBox_Pass.Text;
23InBlock.gif            SoapHeader.localhost.Service service = new SoapHeader.localhost.Service();
24InBlock.gif            service.SecurityHeaderValue = header;
25InBlock.gif            this.textBox_Output.Text+=service.GetResult(this.textBox_Input.Text)+Environment.NewLine;
26ExpandedSubBlockEnd.gif        }
27ExpandedSubBlockEnd.gif    }
28ExpandedBlockEnd.gif}
29None.gif

转载于:https://www.cnblogs.com/BoKeRen/archive/2007/05/24/758458.html

基于Session的安全认证方式
天天向上
07-14 578
1. 基于Session的安全认证方式 描述:当我们没有进行安全认证的时候,直接在浏览器地址栏输入http://127.0.0.1:8080/Security_Session/index.jsp会直接访问页面,这是我们不希望看到的。我们希望index.jsp页面是我们管理员角色才能访问的,因此需要进行一个安全认证。 原理:借助session机制,我们将用户的角色信息记录在session中,在页面对session中的角色进行认证,如果是admin角色则允许访问index.jsp页面,否则重定向到login.
简单Web service 身份验证解决方案
10-29
在给定的文件中,提出了两种Web service身份验证解决方案。 首先,通过SOAPHeader传递用户名和密码是一种直接的Web service身份验证方法。具体实现上,需要在Web服务端定义一个继承自System.Web.Services.Protocols...
WebAPI身份验证客户端AJAX示例代码
09-30
Phenix.NET5快速开发平台,支持WebAPI应用的开发。本代码是开发平台WebAPI身份验证方案的客户端AJAX代码示例,除了可以配套开发平台的web服务使用外,也可以直接应用到自己的项目中。具体请参考:http://blog.youkuaiyun.com/phenixiii/article/details/48718593#0-qzone-1-42526-d020d2d2a4e8d1a374a433f596ad1440
实战 | Bypass云锁MySQL注入总结
yggcwhat
12-26 2283
MySQL特性 空格可以由其它字符替代 select id,contents,time from news where news_id=1①union②select③1,2,username④from⑤admin 位置① 可以利用其它控制字符替换空格:%09,%0a,%0b,%0c,%0d,%20,%a0 可以利用注释符号替换空格:/**/、%23test%0d%0a、 —+a%0d%0a 可以利用数学运算以及数据类型:news_id=1.0,news
Web Service 身份验证1
08-04
总结,通过SOAP Header进行Web Service身份验证是一种常见的做法,它可以方便地集成到服务中,并允许根据需求定制验证逻辑。然而,为了确保安全性,开发者应该遵循最佳实践,包括使用安全的认证策略、加密通信和限制...
使用自定义SOAP头实现.NET Web服务权限控制
- **自定义SOAP Header类(CustomSoapHeader)**:该类继承自`System.Web.Services.Protocols.SoapHeader`,用于封装身份验证信息。 - **Web服务方法的权限检查**:在Web服务的方法实现中,检查Custom SOAP Header中...
js调用webservice构造SOAP进行身份验证
10-22
本文详细介绍了如何使用JavaScript调用Web Service并通过构造SOAP消息进行身份验证的过程。SOAP(Simple Object Access Protocol)是一种基于XML的轻量级协议,用于在网络中进行远程过程调用。本文主要涉及的知识点...
Web Service 那点事儿(3)—— SOAP 及其安全控制 - ImportNew1
08-03
1. `types`:这部分定义了服务中使用的数据类型,可以是基本类型或自定义复杂类型。 2. `portType`:定义服务的接口,包括接口名称和一系列操作,每个操作有输入和输出消息。 3. `message`:定义了在`portType`中...
JavaScript---GO---Python三大语言爬虫
qq_44657571的博客
09-09 4万+
三大语言对比:JavaScript,Python,GO
sqlmap常用命令
weixin_52385170的博客
10-19 2601
sqlmap常用命令
常见waf绕过、进程及识别工具
weixin_45106410的博客
12-02 1997
0X00 WAF简介 WAF对于一些常规漏洞(如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞)的检测大多是基于“正则表达式”和“AI+规则”的方法,因此会有一定的概率绕过其防御。绕过waf的测试中,有很多方法可以使用,以下常用方法: 大小写绕过 注释符绕过 编码绕过 分块传输绕过 使用空字节绕过 关键字替换绕过 http协议覆盖绕过 白名单ip绕过 真实ip绕过 Pipline绕过 参数污染 溢出waf绕过 可以把WAF分为四类 云WAF类硬件WAF类软件WAF类网站内置WAF类 云wa
网站列表页加密:三次请求后返回内容多\r
最新发布
qq_43695167的博客
10-12 530
cookies中多了security_session_mid_verify这个键,同理可知,这个值在第二次请求的Set-Cookie处取得,cookies如下。由返回可知,第三次请求的url与第一次请求一致,cookies要除去第二次请求的srcurl这个键,再与浏览器中的第三次请求进行对比。抓包,需要清理浏览器cookie,或者无痕模式打开网址,否则返回的包不全,依照下图中的第一个包进行request请求。先解码,再删去返回中的\r,即返回正文内容。进行第二次请求,返回。
破解云锁服务器安全软件的反爬机制(python)
baidu_36146918的博客
05-07 4410
啥是云锁 云锁其实是个服务器安全软件,主业也不是反爬虫,不过有一条是可以防止cc攻击,而爬虫行为就像是频次不高的cc攻击,因而直接请求目标站并不能返回目标内容。 最近正好做了个需求抓取http://www.landchina.com/ 上的一些信息,这个网站刚好就使用了云锁。 云锁如何反爬虫 也没有多高明,无非就是常用的: 封禁高频IP 放个cookie 第一个好解决,自己做个高匿代理池就行 这...
Session登录验证
半块菠萝的博客
08-09 3013
最近看到一篇帖子是自己写一个简单的mvc框架挺有意思的http://www.cnblogs.com/edisonchou/p/5211645.html 突然想到自己之前在做用户登录验证方面还可以再改进一下 先说应该怎么做吧 新建一个BaseController继承Controller,然后其他业务控制器继承BaseController(LoginController直接继承Controlle...
Spring Security 如何防止 Session Fixation 攻击
allway2的博客
09-03 1247
如果用户没有登录,这不是问题,但是如果应用程序在用户通过身份验证后继续使用相同的会话 id,就会变得很严重。会话固定是一种非常常见且最常见的攻击类型,恶意攻击者可以通过访问站点来创建会话,然后说服另一个用户使用相同的会话登录(通过向他们发送包含会话的链接标识符作为参数,例如)。如果应用程序只允许应用程序生成的会话 id,它会增加一个步骤,让攻击者先从应用程序获取有效的会话 id,然后才能欺骗受害者使用他们的会话 id 进行登录。有许多应用程序不仅可以接受会话 ID,还可以接受客户端提供的任何其他 ID。
谈下php如何缩短接口响应时间
洋滔的博客
04-29 2044
如何缩短php接口响应时间到百毫秒级。
WebService 的创建,部署和使用
热门推荐
yexuanbaby的专栏
06-05 16万+
WebService,即Web服务,能使得运行在不同机器上的不同应用无须借助,专门的第三方软件或硬件,就可相互交换数据或集成.    第一次选择WebService,是为了替代数据库远程连接.我们都知道当SQL允许远程时,则要打开某一端口.但这一点在我们已经部署好的服务器上,却是不被允许的,于是就选择WebService来代替了.当然现在我们也可以选择WCF来完成.不过这不是我们今天的主题.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值