运维开发网

网络服务:安全吗? Asp.net

运维开发网 https://www.qedev.com 2020-05-23 19:08 出处:网络 作者:运维开发网整理
我无法理解的是Web服务的安全性. 例如,我们正在编写一个桌面应用程序,它将与我们的某个网站上的数据以及本地数据进行交互.这些数据虽然很敏感,但我们最不希望看到的是任何调用Web服务的人. 我还没有找到任何说Web服务有某种身份验证方法的东西,我见过人们谈到的唯一安全性是使用证书来加密消息. 我不是这方面的大师,并且会感谢任何人的意见,也许是一个可以用简单的术语解释这个问题的链接. 谢谢 雅克·
我无法理解的是Web服务的安全性.

例如,我们正在编写一个桌面应用程序,它将与我们的某个网站上的数据以及本地数据进行交互.这些数据虽然很敏感,但我们最不希望看到的是任何调用Web服务的人.

我还没有找到任何说Web服务有某种身份验证方法的东西,我见过人们谈到的唯一安全性是使用证书来加密消息.

我不是这方面的大师,并且会感谢任何人的意见,也许是一个可以用简单的术语解释这个问题的链接.

谢谢

雅克·

如果您使用ASP.NET创建响应/请求服务,则只有3个选项

> ASMX

> WCF

>正常的.NET页面(或处理程序)来处理请求

当您指定服务时,您可以在ASMX和WCF之间进行选择(您可以在我的答案here中阅读ASMX和WCF之间的区别)

请记住这一点

ASMX is considered deprecated technology and replaced by WCF. So if you are going to start new development which requires exposing reusable services, WCF is the way to go.

现在,当我们需要保护服务时,有一个共同的模式,那就是使用会话密钥.

该服务通常有一个登录方法,它获取一个用户和某种密码(通常是哈希,盐渍等),并返回一个有时间限制的“票证”(滑动与否 – 表示每次调用一个期间得到重置的方法,并且所有调用都需要将该票证包含在消息正文中.

像Magento和其他服务API使用它.

或者具有预先生成的密钥,该密钥被提供给用户/应用程序以用于每次呼叫

像Campaign Monitor和MailChimp等服务API使用它.

另一种常规方法是始终在邮件头中包含用户和其他凭据.

像SuperOffice CRM和其他服务API使用它.

这些服务都没有使用SSL,因为我只会使用,如果我真的需要保护“线路”中的数据,请记住SSL会扩展每次呼叫的响应时间.

我希望这有帮助

扫码领视频副本.gif

0

精彩评论

暂无评论...
验证码 换一张
取 消

关注公众号