webservice里session与安全性问题 [问题点数:50分,结帖人passacaglia]
-
本版专家分:2617结帖率 100% -
回复次数3楼主我在webservice里要调用一个com组件,而在另一个asp.net页面里调用这个webservice,我把登录验证写在asp.net页面里,但是我不想让其他人访问webservice,怎么可以做到?我是不是应该把登录验证(session)写在webservice里,还是用其他什么好的办法?其他的我都不会问题点数:50分
-
本版专家分:2617
-
#1 得分:0好像ASP.NET和WBSERVICE不能共享SESSION啊
-
本版专家分:169 -
#2 得分:15take a look at the 'Authentication and Authorization Strategies' portion in link below.
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/secnetch10.asp
-
本版专家分:1839 -
#3 得分:35可以激活webservice的session:[WebMethod(EnableSession=true)]
客户端用System.Net.CookieContainer
详情请看:
http://www.dotnetbips.com/displayarticle.aspx?id=166
- 其他相关推荐
- webservice中使用session的方法
- <br /> <br />在使用asp.net编写webservice时,默认情况下是不支持session的,但我们可以把WebMethod的EnableSession选项设为true来显式的打开它,请看以下例子:<br /> <br />1 新建网站WebSite <br />2 新建web服务WebService.asmx,它具有以下两个方法:<br />C#-Code: <br /> [WebMethod(EnableSession = true)]<br /> publicstring
- 调用WebService方法 Session丢失
- 现象是调用WebService中的服务,结果返回后再跳转到父页面发现Session丢失了 首先Session的原理由网上查找得到 Session就是服务器给客户端的一个编号。当一台www服务器运行时,可能有若干个用户浏览正在这台服务器上的网站。当每个用户首次与这台www服务器建立连接时,他就与这个服务器建立了一个Session,同时服务器会自动为其分配一个SessionID,用以标识这个用户的
- Web中的安全性问题
- 根据2010年OWASP发布的Web应用程序安全风险主要是SQL注入攻击、跨网站脚本、伪造客户端请求、Cookie盗取,传输层保护不足。 1 SQL注入攻击 随着B/S框架结构在系统开发中的广泛应用,恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后,Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访
- 关于PHP的session登录的安全问题
- 一般开发不太需要安全性的网站系统也要考虑session做登录验证的安全问题,session_id()很在传输的过程中被恶意用户挟持,伪造一个新的ID侵入系统,这里可以考虑使用session的加密验证。 第一种方法:一个标准的HTTP请求中除了host等头部必须信息,还可能包含一些可选的头部比如 Accept:text/html,application/xhtml+xml,applicati
- web大前端开发中一些常见的安全性问题
- 1 跨站脚本攻击(XSS攻击) XSS(Cross Site Scripting),跨站脚本攻击。XSS是常见的Web攻击技术之一.所谓的跨站脚本攻击指得是:恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击. 解决方案: (1) 输入过滤。永远不要相信用户的输入,对用户输入的数
- C#WebService 之Session之我见
- 这几天一直在学习WebService的知识。正好现在有一个项目,需要在WebService实现如下接口: String Login(string username, string password) // 登录方法,返回值用来指名是不是登录成功,并且这个值在之后的接口中用来
- ajax安全性问题
- ajax类访问要注意一点:就是安全性问题。 首先是身份验证,很多因为是ajax直接提供了功能,不要因为ajax而忽略安全性问题; 其次是session过期问题,这些都是可以在过滤器中来进行控制。
- 前端安全性问题
- 今天不知道怎么突然想起来前端的安全性问题,之前遇到过这样的笔试题,了解过,但是感觉没明白,又忘记了,所以今天来做一个总结。 SQL注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 防护措施:前端页面要校验用户的输入数据,后端不要使用动态SQL语句,不要直接存放机密数据。(严格说,sql注入属于后端的安全问题) XXS跨站脚本分析:
- CXF 2.4 WebService 发布和调用的身份验证和获取示例代码
- 内容包含 1. 发布和调用WebService: 使用CXF2.4(http://cxf.apache.org)和spring 2. 调用安全性: 使用简单的USERNAME_TOKEN 3. 服务程序中取得调用者身份 ------------------------- 接口 ------------------------- intf.TrialService ------------------------- 服务端 ------------------------- 实现: server.TrialServiceImpl 使用 @Resource private WebServiceContext wsctx;得到wsctx,从而得到调用者身份. 配置: trial-cxf-server.xml 其中配置了对传入请求的拦截器用以验证调用者身份 验证程序: WsServerAuthHandler. 这里只需要提供调用者应该使用的正确的口令. 是否和调用者实际传入的口令一致,由cxf完成. web.xml ------------------------- 客户端: ------------------------- client.TrialClient 其中配置了对传出请求的拦截器用以设置口令 设置口令程序: WsClientAuthHandler
- 提高COOKIE的安全性--相关解决方案
- 提高COOKIE的安全性--相关解决方案 网络上常见方案是: 给Cookies加个加密算法。 给Cookies加个时间戳和IP戳,实际就是让Cookies在同个IP下多少时间内失效。 最终使用MD5来MAC签名防止篡改……但这样仍然可以看到明文信息,有一定不安全之处。 我的方案是 cookie==3des(“值,时间,IP戳”); 最终得到的COOKIE是这样的:3