Wir suchen eine Reihe von ASP.Net 2.0 .asmx-Webdiensten. Das, das die Webdienste hostet, ist bereits authentifizierte Formulare.
Ist es möglich, die Webdienste mit der Formularauthentifizierung zu sichern? Was sind die Vor- und Nachteile und andere Möglichkeiten, dies zu erreichen. Wir wollen sicherlich keinen Benutzernamen/Pwd oder Token in jedem Web-Methodenaufruf übergeben.Ist es möglich, einen Webdienst mit der Formularauthentifizierung zu sichern?
Die Sache mit der Formularauthentifizierung ist, dass es für Menschen entwickelt wurde, die als Webservice für die Verwendung durch eine Clientanwendung konzipiert wurden. Während es möglich ist, die Authentifizierung so zu machen, ist es die falsche Art zu denken.
Das erforderliche Sicherheitsniveau hängt natürlich von der Empfindlichkeit der Daten ab, mit denen Sie arbeiten, aber ich gehe davon aus, dass es zumindest etwas sensibel ist (aber weniger als bei Banktransaktionen). Sie könnten vielleicht SSL verwenden und einen Benutzernamen und ein Passwort weitergeben, wie es von jle vorgeschlagen wurde, während ich dies tippte, oder Sie könnten einen API-Schlüssel benötigen, ähnlich wie bei flickr.
Eine weitere sicherere Option besteht darin, den Benutzernamen und das Passwort nur einmal (und mit der Sicherheit von ssl) zu übergeben und ein Token auszugeben, das für eine bestimmte Zeit gültig ist. Dies hat den Vorteil, die Kennwortinformationen zu schützen und den konstanten Overhead von ssl zu vermeiden.
Wie bereits erwähnt, hängt es stark davon ab, wie sensibel die Informationen sind, die Sie zu sichern versuchen.
Es ist möglich, aber Sie müssen Benutzer auf eine Anmeldeseite umleiten. Eine weitere Möglichkeit zur Übergabe von Benutzername/Passwort ist die Verwendung des Web-Service über ssl. Wenn Sie die Verbindung verschlüsseln, kann die Standardauthentifizierung problemlos verwendet werden.
Sie sollten in der Lage sein, WSE zu verwenden, um Ihren Dienst mithilfe der Formularauthentifizierung zu sichern - obwohl ich das persönlich noch nie getan habe.
Hier sind einige Ressourcen WSE mit:
WSE Um nicht so etwas wie diese verwenden müssten Sie implementieren, wie einige der anderen presponders angespielt haben obwohl ich nicht sicher bin, wie zuverlässig es wäre:
WSE ist veraltet. Benutze es nur, wenn du überhaupt keine Wahl hast.
Fast alle Funktionen von WSE werden von WCF besser implementiert. Die verbleibenden Funktionen, die nicht von WCF implementiert werden, sind selbst veraltet (z. B. DIME).