我们正在寻求保护大量 ASP.Net 2.0 .asmx Web 服务的安全。将托管 Web 服务的表单已经经过身份验证。
是否可以使用表单身份验证来保护 Web 服务的安全?
实现这一目标的优点和缺点是什么以及其他可能的方法。我们当然不想在每个 Web 方法调用中传递用户名/密码或令牌。
表单身份验证的特点是它是为人们设计的,而 Web 服务则旨在由客户端应用程序使用。虽然可以像这样进行身份验证,但这是错误的思维方式。
所需的安全级别显然取决于您正在使用的数据的敏感性,但我假设它至少有些敏感(但低于银行交易)。当我输入此内容时,您也许可以使用 SSL 并按照 jle 的建议传递用户名和密码,或者您可能需要一个 api 密钥,就像 flickr 那样。
另一个更安全的选择是仅传递一次用户名和密码(并且具有 ssl 的安全性),并给出在一段时间内有效的令牌。这样做的好处是可以保护密码信息,并避免 ssl 的持续开销。
如前所述,这在很大程度上取决于您要保护的信息的敏感程度。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
