是否可以使用表单身份验证来保护 Web 服务的安全？

Question

我们正在寻求保护大量 ASP.Net 2.0 .asmx Web 服务的安全。 将托管 Web 服务的表单已经经过身份验证。
是否可以使用表单身份验证来保护 Web 服务的安全？ 实现这一目标的优点和缺点是什么以及其他可能的方法。 我们当然不想在每个 Web 方法调用中传递用户名/密码或令牌。

Answer 1

您应该能够使用 WSE 通过表单身份验证来保护您的服务 - 尽管我个人从未这样做过。

以下是使用 WSE 的一些资源：

• http://aleemkhan.wordpress.com/2007/09/18/using-wse-30-for-web-service-authentication/
• http://msdn.microsoft.com/en-us/library/aa480575.aspx

要不使用 WSE，您需要实施一些操作就像其他一些回答者提到的那样，尽管我不确定它有多可靠：

• http://www.dotnetbips.com/articles/dbd724e9-78f0-4a05-adfb-190d151103b2.aspx

Answer 2

表单身份验证的特点是它是为人们设计的，而 Web 服务则旨在由客户端应用程序使用。 虽然可以像这样进行身份验证，但这是错误的思维方式。

所需的安全级别显然取决于您正在使用的数据的敏感性，但我假设它至少有些敏感（但低于银行交易）。 当我输入此内容时，您也许可以使用 SSL 并按照 jle 的建议传递用户名和密码，或者您可能需要一个 api 密钥，就像 flickr 那样。

另一个更安全的选择是仅传递一次用户名和密码（并且具有 ssl 的安全性），并给出在一段时间内有效的令牌。 这样做的好处是可以保护密码信息，并避免 ssl 的持续开销。

如前所述，这在很大程度上取决于您要保护的信息的敏感程度。

Answer 3

华尔街英语已经过时了。 除非您别无选择，否则不要使用它。

WSE的几乎所有功能都由WCF更好地实现。 其余功能（未由 WCF 实现的功能）本身已过时（例如 DIME）。

Answer 4

这是可能的，但您需要将用户重定向到登录页面。 传递用户名/密码的另一个选项是通过 ssl 使用 Web 服务。 如果您加密连接，则可以使用基本身份验证没有问题。