如何保护 c# 2.0 中的 Web 服务并使其易于任何平台使用

Question

如何保护 Web 服务并使其易于任何平台使用。

设置：Asp.NET 2.0、Dot Net 2.0、c# 2.0、Visual Studio 2005。Web 服务器是 IIS 并使用 https (SSL)

1. 我想避免安装诸如 WSE 3.0 之类的东西。与 Visual Studio 和 IIS 的未来版本相比，我更喜欢可以随身携带的纯 C# 方法。
2. 每个人都应该能够在无需身份验证的情况下访问 Web 服务 URL 和描述并查看 WSDL。
3. 安全措施将有助于阻止人们向我们的网络服务方法发送垃圾邮件。
4. 易于实施：我不想为客户端管理证书或安装任何东西。
5. 客户端仅发送用户名和密码。

这是否意味着 SOAP 标头身份验证是唯一的方法？我找到了这些链接，但不知道它们是否适用于非 .NET 客户端？
http://aspalliance.com/805 和 http://www.codeproject.com/KB/webservices/SOAPHeaderAuthentication.aspx

我还看到 这篇文章但不知道是否和如何实现它（不是一个很好的例子）。

请建议或给我一个好的链接（请不要视频）。 谢谢！

Answer 1

您最好的选择是升级到 WCF，因为那里的内置选项要好得多。如果您陷入 2.0/SOAP 领域，那么自定义 SOAP 标头将在大多数平台上工作——我之前已经在 .NET、COM+ 和 PHP 中成功使用过它们。您可以使用典型的 ASP.NET 授权位（包括 sql 数据库）来支持用户/密码。也就是说，如果安全点是减少垃圾邮件，并且您没有大量的服务方法来“保护”，那么您可能只想在方法中添加一个“UserKey”参数，然后验证（或至少是速率限制）反对这一点。

Answer 2

1. 您应该将您的解决方案升级到 WCF。如果可以，您可以轻松地为您的客户端选择凭据类型。另请参阅保护 WCF 服务文章
2. SOAP 标头适用于非.NET 客户端，如果它们可以构造请求所需的 xml。
3. 使用 本文提供了 SOAP 标头使用的简单示例。

Answer 3

IIS 中的基本身份验证还不够吗？服务使用者可以轻松地通过请求传递基本身份验证参数。