Web Services的身份驗證

  Web Services 的身份驗證

一 引言

   隨着 Web Service 的出現，其應用也是越來越廣，同時也深受開發者的喜愛。下面我將引用一個實際應用例子說明本文的目的。

   假設有一個網上購物系統 LiveShopping 。在 LiveShopping 上，當客戶已經選好他自己想買的商品之後，接下來就該付帳了。 LiveShopping 可以直接用信用卡付帳。另外假設 LiveShopping 的電子付款是與 VeriSign 合作。也就是說 LiveShopping 是 VeriSign 的一個客戶。假設 VeriSign 提供了一些 Web Services 供 LiveShopping 使用。假設這些方法是：

1）  VerifyCC(string cc_no,string expire_date,float amt)

2）  ProcessCC(string transaction_type, string cc_no,string expire_date,float amt,CardHolder holder)

  其中方法 1 驗證信用卡是否有效，方法 2 是一個 Transaction ，將從信用卡上劃出 amt 數額的交易款。

參數說明

cc_no 信用卡卡號碼

expire-date 有效日期

amt  金額

transaction_type 事務類型，比如說 sale ， force 等等

holder 持卡人信息

 

  這裏有個問題，如果 VeriSign 沒有身份驗證，那怎麼知道客戶是 LiveShopping 。換句話說，如果沒有身份驗證，每個人都可以使用這兩個方法。所以身份驗證必不可少。

二 實現身份驗證

   身份驗證有很多方法，這裏將介紹一種非常簡單的方法，並且在 .NET 中實現。

   可以應用 WebService 的 Soap 頭實現。也就是說可以利用 Soap 頭傳遞驗證的信息，比如用戶名，密碼等等。

首先從客戶端看，可以對其應用有一個直觀的瞭解。代碼如下

  private void Button1_Click (object sender , System .EventArgs e )

              {

                     AuthHeader auth =new AuthHeader ();

                     WebServices webService =new WebServices ();

                     auth .UserName =this .txtName .Text .Trim ();

                     auth .Password =this .txtPwd .Text .Trim ();

                     webService .authHeader =auth ;

                  string rtStr =webService .GetPassword ();

                     this .txtReturn .Text =rtStr ;

}

   解釋一下， AuthHeader 爲前面提及的 Soap 頭的實現，其定義如下：

    public class AuthHeader :SoapHeader

       {

              public string UserName ;

              public string Password ;

       }

 

繼續看看 WebServices 是如何實現的，代碼如下：

       public class WebServices : System .Web .Services .WebService

       {

              public AuthHeader authHeader ;

              [SoapHeader ("authHeader")]

              [WebMethod ( Description ="This method will return the sensitive data")]

              public string GetPassword ()

              {

                     if (authHeader .UserName .Equals ("user") &&authHeader .Password .Equals ("pwd"))

                     {

                            return "pwd";

                     }

                     return "Invalid Authentication ";

              }

       }

可以發現，加入了一個 AuthHeader 公共成員。這個可以供調用者傳輸驗證信息。另外重要的一點是 SoapHeader 屬性，它明確了 Soap 頭。具體可以參見 MSDN 。

  在 GetPassword （）中，可以加入你的代碼。它第一步就是驗證信息，如果驗證成功，繼續完成你的事情，如果不成功，則退出。

三 進一步

  如果爲了使應用更加安全，我們可以對數據進行加密，比如說我們可以對驗證信息進行加密。可以在客戶端進行加密，然後到了 server 端進行解密。加密和解密是另外一個話題，在這裏不多假描述。

  從性能方面來看，加密解密這個過程將會降低性能。所以一般可以折中考慮，只對於一些敏感的數據進行加密和解密，比如說密碼等。除非是一些高安全性的應用，這時就另當別論了。