WebServices(安全与身份验证)

安全与身份验证身份验证:基于凭据（例如用户名和密码）向颁发机构验证标识的过程授权对标识进行了身份验证之后，授权将确定是否对该标识授予访问资源的权限IP与DNS层安全机制在IIS的”目录安全性”中设置优点:底层的安全机制发生在其它验证之前缺点:代理上网的方式使很多客户端只有一个IP地址DNS查找非常费时身份验证中的常用类型HttpContext

类

封装有关个别HTTP请求的所有HTTP特定的信息

IPrincipal:定义用户对象的基本功能Identity属性:获取当前用户的标识IsInRole方法:确定当前用户是否属于指定的角色GenericPrincipal类和WindowsPrincipal类实现该接口身份验证中的常用类型IIdentity接口:定义标识对象的基本功能AuthenticationType

属性:验证的类型IsAuthenticated

属性:是否是通过验证的用户Name

属性:当前用户的名称Windows基本验证集成Windows操作系统中的用户,密码和权限用户名和密码以明文方式传输不能自定义扩展(如数据库)NetworkCredential

类:为基于密码的身份验证方案提供凭据。代理类的Credentials属性Windows基本验证在IIS中设置

DEMO(BasicAuth.asmx,aspx)Windows简要验证类似基本验证用户名和密码加密基于活动目录存储用户信息,需要安装AD不能自定义扩展(如数据库)Windows集成验证类似基本验证在IIS中设置简单结合域用户的网络环境效果更佳将加密后的用户名和标识发送到IIS,由IIS将用户名和密码传送到域服务器,因此密码不在网络上直接传播仅IE支持不能自定义扩展(如数据库)使用Kerberos协议需要打开端口Forms验证使用自己的代码对用户进行身份验证，然后将身份验证标记保留在Cookie或页的URL中通过FormsAuthentication

类访问Forms身份验证信息和功能客户端标识基于Cookie的形式,效率高对客户端标识有加密和验证功能,安全性高可自定义扩展方式(如数据库)WebServices默认不支持,需要自定义实现使用Session存储WebServices返回的身份验证票据Forms验证配置Web.config<authenticationmode="Forms"><formsname="g2004"loginUrl="/login.asmx"path="/"protection="All"timeout="30"/></authentication>

<authorization><denyusers=“?"/></authorization>Forms验证身份验证票的形式publicFormsAuthenticationTicket(

intversion,//设为1

stringname,//用户标示

DateTime

issueDate,//Cookie的发出时间,设置为DateTime.Now

DateTimeexpiration,//过期时间

bool

isPersistent,//是否持久性(根据需要设置,若是设置为持久性,在发出cookie时,cookie的Expires设置一定要设置)

stringuserData,//这里用上面准备好的用逗号分割的role字符串

stringcookiePath//设为"/",这要同发出cookie的路径一致,因为刷新cookie要用这个路径

);Forms验证访问授权publicstaticvoid

SetAuthCookie

(string

userName,bool

createPersistentCookie)userName

用于Cookie身份验证的用户名称。createPersistentCookie

指定是否应当发出持久性Cookie。

DEMO(FormsAuth1.asmx,aspx)Forms验证基于角色的授权生成自己的验证票据,在UserData属性中存储角色信息在global.asax的Application_AuthorizeRequest事件处理程序中,使用UserData属性中的角色信息,生成新的GenericPrincipal身份

DEMO(FormsAuth1.asmx,aspx)SSL验证SSL:安全套接字层服务器和浏览器之间传输的数据通过PKI(公钥加密机制)技术加密截取的TCP/IP数据包将无法解读必须从CA(证书颁发机构)获得授权证书(收费)使用HTTPS协议SSL验证实现步骤:从IIS生成CSR(授权证书申请)和私钥将CSR发到CA获得SSL授权证书在IIS中安装SSL证书原理:

私钥保存在服务器端并用来加密数据,公钥保存在客户端用来解密数据SSL可以与多种验证方式结合,如基本验证,Windows集成验证,Forms验证等SSL验证使用SOAP头执行自定义身份验证ASP.NET请求的处理过程ASP.NET请求处理过程是基于管道模型的，在模型中ASP.NET把http请求传递给管道中的所有模块。每个模块都接收http请求并有完全控制权限。模块可以用任何自认为适合的方式来处理请求。一旦请求经过了所有HTTP模块，就最终被HTTP处理程序处理，并且结果将再次经过管道中的HTTP模块

使用SOAP头执行自定义身份验证ASP.NET请求的处理过程使用SOAP头执行自定义身份验证HTTP模块HTTP模块是一个在每次针对应用程序发出请求时调用的程序集HTTP模块作为ASP.NET请求管线的一部分调用，它们能够在整个请求过程中访问生命周期事件HTTP模块使您有机会检查传入的请求并根据该请求采取操作。它们还使您有机会检查出站响应并修改它使用SOAP头执行自定义身份验证HTTP模块IHttpModuleInit方法:初始化模块

Web.config中配置<httpModules><addtype=“类名”name=“任意名称"/></httpModules>使用SOAP头执行自定义身份验证自定义SOAP头扩展实现自定义HTTP模块HTTPModule分析HTTP消息，检查是否是SOAP消息如果HTTPModule检测到SOAP消息，它将读取SOAP头如果SOAP消息的SOAP头中含有身份验证凭据，则HTTPModule引发自定义global.asax

事件在global.asax中为HTTP模块中的自定义事件添加处理程序,在该程序中为当前请求赋予角色信息

DEMO

代码1

代码2WSE简介WSE(WebServicesEnhancements)是微软提供的一个实现高级Web服务协议的类库WSE支持12种新兴的规范，分为3大类：安全性、事务处理和可靠传输WS-Security定义了消息级安全的机制，包括如何交换身份凭据，以及如何验证消息的完整性和机密性。WS-Routing用于建立虚拟网络，具体是通过中途的SOAP节点来路由传递消息。可将WS-Routing想象成用于SO