我很想知道人们使用什么方法来保护他们的Web服务免受未经授权的Web服务使用者的侵害。
答案 0 :(得分:1)
我通常要求每次都发送一个用户ID /密码,或者从第一个经过身份验证的连接中返回一个可以随后使用的令牌。
没什么特别的。非常类似于标准的Web应用程序登录。
答案 1 :(得分:1)
我已经使用了SOAP标头和方法参数来传递用户凭据 - .NET使得使用SOAP标头变得非常容易,但是我使用Java时遇到了问题(几个月前)。如果服务不是用于客户端(浏览器),而是来自后端Web服务器,我也会进行一些基于IP的过滤。公共浏览器可消费Web服务通常受会话cookie保护 - 即需要有效登录网站,然后标准会话认证机制用于通过AJAX向Web服务发出请求。
答案 2 :(得分:1)
有一个专门针对Web服务安全性的协议WS-Security。我过去曾经使用过它的一部分,但当时在.Net中并没有很多支持它,所以这是很多工作。
目前使用.Net,我使用SOAP扩展标头。我有一个Web服务调用来验证并获取会话令牌,然后在每个后续调用的SOAP头中包含该令牌,有点类似于此example。当然,所有请求必须通过TLS传播,以防止它们受到损害。
答案 3 :(得分:0)
如果您不想在自己的应用程序中处理,可以使用IBM的DataPower或Vordel等网络设备。