「webservice安全」webservice和http

今天小编给各位分享webservice安全的知识，文中也会对其知识点进行延伸解释，如果文章内容对您有帮助，别忘了关注本站，现在进入正文！

内容导航：

怎么给WebService加上安全机制

webservice怎么安全验证

webservice安全！（.net）

使用cxf 开发WebService 如何保证它的安全性

WebService接收SQL语句安全吗

使用WebService和不使用WebService哪个速度更快哪个更安全

一、怎么给WebService加上安全机制

webservice自身是没有安全机制的。它使用简单对象传输协议，并没有实现ws-*的安全机制的。所以如果对webservice加安全机制的话也只能从IIS等部署上加。这种安全校验可参考IIS部署，别说安全机制，就算是https证书验证都没有问题。但这个安全机制是属于IIS的，并不属于web service。很不幸的是，microsoft对web service是放弃的态度，随着.net 3.5的发布wcf全面实现WS-*协议簇，并可在wcf上直接实现安全，而不依赖于IIS。支持双工模式，多种启动方式等。为什么不放弃web service而使用WCF呢？

二、webservice怎么安全验证

众所周知，WebService访问API是公开的，知道其URL者均可以研究与调用。那么，在只允许注册用户的WebService应用中，如何确保API访问和通信的安全性呢？本文所指的访问与通信安全性包括：访问安全性：当前访问者是注册合法用户通信安全性：客户端与服务器之间的消息即使被第三方窃取也不能解密本文安全的基本思路是：注册用户登录时使用RSA加密Web API调用参数使用DES加密（速度快）Web API调用中包含一个身份票据TicketWeb服务器保存当前Ticket的Session，包括：Ticket、DES加密矢量、注册用户基本信息1 WebService身份验证确保注册用户的访问安全，需要如下步骤：1）产生一个当前客户端机器票据（Ticket）；2）请求服务器RSA公钥（RSAPublicKey）；3）使用RSA加密登录口令及发布DES加密矢量（DESCipherVector）。1.1 产生客户端机器票据Ticket一般而言，可以由客户端机器根据自己的MAC、CPU序列号等唯一标识产生一个本机器的Ticket字符串票据，其目的是：唯一标识当前客户端，防止其它机器模仿本客户端行为。1.2 请求服务器公钥RSAPublicKey客户端携带票据Ticket向服务器请求RSA公钥RSAPublicKey。在服务器端，一般采取如下策略产生RSA加密钥匙：Application_Start时产生一个1024或更长的RSA加密钥匙对。如果服务器需要长久运行，那么Application_Start产生的RSA可能被破解，替代方案是在当前Session_Start时产生RSA加密钥匙对保存当前票据对应的客户帐号对象，即：Session[Ticket] = AccountObject，在确认身份后在填写AccountObject具体内容：帐号、RSA加密钥匙对、DES加密矢量完成上述步骤后，服务器将RSAPublicKey传回给客户端。1.3 加密登录口令及DES加密矢量客户端获得RSAPulbicKey后，产生自己的DES加密矢量DESCipherVector（至少要8位及以上，该加密矢量用于以后的常规通信消息加密，因为其速度比RSA快）。接着，客户端使用RSAPublicKey加密登录帐号、口令及DESCipherVector，连同Ticket，发送到服务器并请求身份验证。登录API格式如下：public void Login(string Ticket, string cipherLongID, string cipherPassword)；如果验证成功，服务器将当前帐号信息、RSA钥匙、DESCipherVector等保存到会话Session[Ticket]中。2 WebService通信安全性2.1 加密WebService API参数身份确认后，在客户端调用的WebService API中，必须包括参数Ticket，其它参数则均使用DESCipherVector加密。服务器端返回的消息也同样处理。例如，提交一个修改email的函数定义为：public void ModifyEmail(string Ticket, string cipherEmai)；2.2 客户端解密消息客户端接收到服务器返回消息后，先做解密操作，如果成功则进入下步处理。否则抛出加密信息异常。2.3 服务器端解密消息服务器接收到客户提交的API请求后，首先验证Ticket的合法性，即查找Session中是否有该票据以验证客户身份。然后，解密调用参数。如果成功则进入下不操作，否则返回操作异常消息给客户端。需要指出，如果第三方截获全部会话消息，并保留其Ticket，此时服务器端仍然认可这个第三方消息。但是，第三方不能浏览，也不能修改调用API的参数内容，此时解密参数时将抛出异常。上面探讨了一个基于加密的WebService访问与通信安全方法，即使第三方获取消息，不能查看原始内容，也不能修改内容，保证了WebService API的安全性。

三、webservice安全！（.net）

webservice同样可以用session和cookie的，在方法的头上声明一下就能用session和cookie验证了。客户端方面，要保证在同一个CookieContainer下 session就会有效。你自己折腾下，如果还是摸不到门道我可以提供一些源码。

四、使用cxf 开发WebService 如何保证它的安全性

如果只是基于用户名密码你可以搜索一下WS-Security usernametoken在cxf的示例中也有助于flex怎么调用这个我不太清楚

五、WebService接收SQL语句安全吗

当然不安全啊，通过监听可以获取你的sql语句，岂不是连数据库带数据库结构及相关信息都暴露在在外面了啊，你打包成方法啊，比如密码验证，你只传输给webService一个用户名和密码，服务器只返回成功或失败即可，而不是把验证用户名和密码的sql语句传给webservice,如果是其他操作，最好加一些其他方面的验证，哪怕是简单的session验证等。 再说了，你这样的项目的分层也不合理啊，应该把sql语句封装层方法。

六、使用WebService和不使用WebService哪个速度更快哪个更安全

当前，WebService是一个热门话题。但是，WebService究竟是什么？什么情况下应该用WebService？什么情况下不应该用WebService？是需要我们正确认识的。　　实际上，WebService的主要目标是跨平台的可互操作性。为了达到这一目标，WebService完全基于XML（可扩展标记语言）、XSD（XMLSchema）等独立于平台、独立于软件供应商的标准，是创建可互操作的、分布式应用程序的新平台。由此可以看出，在以下三种情况下，使用WebService会带来极大的好处。　　长项一：跨防火墙的通信　　如果应用程序有成千上万的用户，而且分布在世界各地，那么客户端和服务器之间的通信将是一个棘手的问题。因为客户端和服务器之间通常会有防火墙或者代理服务器。在这种情况下，使用DCOM就不是那么简单，通常也不便于把客户端程序发布到数量如此庞大的每一个用户手中。传统的做法是，选择用浏览器作为客户端，写下一大堆ASP页面，把应用程序的中间层暴露给最终用户。这样做的结果是开发难度大，程序很难维护。　　图1通过WebService集成应用程序　　举个例子，在应用程序里加入一个新页面，必须先建立好用户界面(Web页面)，并在这个页面后面，包含相应商业逻辑的中间层组件，还要再建立至少一个ASP页面，用来接受用户输入的信息，调用中间层组件，把结果格式化为HTML形式，最后还要把“结果页”送回浏览器。要是客户端代码不再如此依赖于HTML表单，客户端的编程就简单多了。　　如果中间层组件换成WebService的话，就可以从用户界面直接调用中间层组件，从而省掉建立ASP页面的那一步。要调用WebService，可以直接使用MicrosoftSOAPToolkit或.NET这样的SOAP客户端，也可以使用自己开发的SOAP客户端，然后把它和应用程序连接起来。不仅缩短了开发周期，还减少了代码复杂度，并能够增强应用程序的可维护性。同时，应用程序也不再需要在每次调用中间层组件时，都跳转到相应的“结果页”。　　从经验来看，在一个用户界面和中间层有较多交互的应用程序中，使用WebService这种结构，可以节省花在用户界面编程上20%的开发时间。另外，这样一个由WebService组成的中间层，完全可以在应用程序集成或其它场合下重用。最后，通过WebService把应用程序的逻辑和数据“暴露”出来，还可以让其它平台上的客户重用这些应用程序。　　长项二：应用程序集成　　企业级的应用程序开发者都知道，企业里经常都要把用不同语言写成的、在不同平台上运行的各种程序集成起来，而这种集成将花费很大的开发力量。应用程序经常需要从运行在IBM主机上的程序中获取数据；或者把数据发送到主机或UNIX应用程序中去。即使在同一个平台上，不同软件厂商生产的各种软件也常常需要集成起来。通过WebService，应用程序可以用标准的方法把功能和数据“暴露”出来，供其它应用程序使用。　　例如，有一个订单登录程序，用于登录从客户来的新订单，包括客户信息、发货地址、数量、价格和付款方式等内容；还有一个订单执行程序，用于实际货物发送的管理。这两个程序来自不同软件厂商。一份新订单进来之后，订单登录程序需要通知订单执行程序发送货物。通过在订单执行程序上面增加一层WebService，订单执行程序可以把“AddOrder”函数“暴露”出来。这样，每当有新订单到来时，订单登录程序就可以调用这个函数来发送货物了。　　长项三：B2B的集成　　用WebService集成应用程序，可以使公司内部的商务处理更加自动化。但当交易跨越供应商和客户、突破公司的界限时会怎么样呢？跨公司的商务交易集成通常叫做B2B集成。　　WebService是B2B集成成功的关键。通过WebService，公司可以把关键的商务应用“暴露”给指定的供应商和客户。例如，把电子下单系统和电子发票系统“暴露”出来，客户就可以以电子的方式发送订单，供应商则可以以电子的方式发送原料采购发票。当然，这并不是一个新的概念，EDI(电子文档交换)早就是这样了。但是，WebService的实现要比EDI简单得多，而且WebService运行在Internet上，在世界任何地方都可轻易实现，其运行成本就相对较低。不过，WebService并不像EDI那样，是文档交换或B2B集成的完整解决方案。WebService只是B2B集成的一个关键部分，还需要许多其它的部分才能实现集成。　　用WebService来实现B2B集成的最大好处在于可以轻易实现互操作性。只要把商务逻辑“暴露”出来，成为WebService，就可以让任何指定的合作伙伴调用这些商务逻辑，而不管他们的系统在什么平台上运行，使用什么开发语言。这样就大大减少了花在B2B集成上的时间和成本，让许多原本无法承受EDI的中小企业也能实现B2B集成。　　长项四：软件和数据重用　　软件重用是一个很大的主题，重用的形式很多，重用的程度有大有小。最基本的形式是源代码模块或者类一级的重用，另一种形式是二进制形式的组件重用。　　图2用WebService集成各种应用中的功能，为用户提供一个统一的界面　　当前，像表格控件或用户界面控件这样的可重用软件组件，在市场上都占有很大的份额。但这类软件的重用有一个很大的限制，就是重用仅限于代码，数据不能重用。原因在于，发布组件甚至源代码都比较容易，但要发布数据就没那么容易，除非是不会经常变化的静态数据。　　WebService在允许重用代码的同时，可以重用代码背后的数据。使用WebService，再也不必像以前那样，要先从第三方购买、安装软件组件，再从应用程序中调用这些组件；只需要直接调用远端的WebService就可以了。举个例子，要在应用程序中确认用户输入的地址，只需把这个地址直接发送给相应的WebService，这个WebService就会帮你查阅街道地址、城市、省区和邮政编码等信息，确认这个地址是否在相应的邮政编码区域。WebService的提供商可以按时间或使用次数来对这项服务进行收费。这样的服务要通过组件重用来实现是不可能的，那样的话你必须下载并安装好包含街道地址、城市、省区和邮政编码等信息的数据库，而且这个数据库还是不能实时更新的。　　另一种软件重用的情况是，把好几个应用程序的功能集成起来。例如，要建立一个局域网上的门户站点应用，让用户既可以查询联邦快递包裹，查看股市行情，又可以管理自己的日程安排，还可以在线购买电影票。现在Web上有很多应用程序供应商，都在其应用中实现了这些功能。一旦他们把这些功能都通过WebService“暴露”出来，就可以非常容易地把所有这些功能都集成到你的门户站点中，为用户提供一个统一的、友好的界面。　　将来，许多应用程序都会利用WebService，把当前基于组件的应用程序结构扩展为组件/WebService的混合结构，可以在应用程序中使用第三方的WebService提供的功能，也可以把自己的应用程序功能通过WebService提供给别人。两种情况下，都可以重用代码和代码背后的数据。　　从以上论述可以看出，WebService在通过Web进行互操作或远程调用的时候是最有用的。不过，也有一些情况，WebService根本不能带来任何好处。　　短处一：单机应用程序　　目前，企业和个人还使用着很多桌面应用程序。其中一些只需要与本机上的其它程序通信。在这种情况下，最好就不要用WebService，只要用本地的API就可以了。COM非常适合于在这种情况下工作，因为它既小又快。运行在同一台服务器上的服务器软件也是这样。最好直接用COM或其它本地的API来进行应用程序间的调用。当然WebService也能用在这些场合，但那样不仅消耗太大，而且不会带来任何好处。　　短处二：局域网的同构应用程序　　在许多应用中，所有的程序都是用VB或VC开发的，都在Windows平台下使用COM，都运行在同一个局域网上。例如，有两个服务器应用程序需要相互通信，或者有一个Win32或WinForm的客户程序要连接局域网上另一个服务器的程序。在这些程序里，使用DCOM会比SOAP/HTTP有效得多。与此相类似，如果一个.NET程序要连接到局域网上的另一个.NET程序，应该使用.NETremoting。有趣的是，在.NETremoting中，也可以指定使用SOAP/HTTP来进行WebService调用。不过最好还是直接通过TCP进行RPC调用，那样会有效得多。　　总之，只要从应用程序结构的角度看，有别的方法比WebService更有效、更可行，那就不要用WebService

关于webservice安全的问题，通过《怎么给WebService加上安全机制》、《webservice安全！（.net）》等文章的解答希望已经帮助到您了！如您想了解更多关于webservice安全的相关信息，请到本站进行查找！