如何使用 SOAP 验证用户身份？

Question

我们是否必须将用户名/密码与 SOAP 消息一起发送？ 在这种情况下，我的数据库服务器每次都必须运行查询来进行身份验证。

有没有一种基于令牌的身份验证方法？如果有人能指出我正确的方向，那将非常有帮助。

Answer 1

在我们的环境中，是的。但我们使用的是执行身份验证的 Cisco 和/或第 7 层网关，因此当它到达应用程序服务器时，它位于内部网络上并且受信任。

或者，您可以传递用户名/密码和某种令牌字符串。你的服务器会查看令牌并查看它是否通过“嗅探”测试（太旧？零长度？校验和错误？来自错误的 IP？）如果嗅探正常，那就没问题。如果不行（通常为空），则使用用户 ID/密码进行身份验证，生成具有当前时间戳的新令牌，并使用其 IP 地址（或其他内容）生成新令牌。也许可以在其中添加一个 GUID 以确保唯一性。如果他们没有任何有效信息（令牌错误、用户 ID/密码丢失），则发回质询，以便他们可以使用用户 ID/密码重新提交。