WebService的安全控制?分不够再加
zzj 2003-11-05 02:04:15 WebService有必要进行权限控制,如果任何人都可以调用则危及数据安全,且服务器性能也要下降。
以前通过Windows的集成认证可以识别具体是“谁”(windows User)操作数据库的,但在外部网络访问的时候不会登录到“域”,因此这种认证方式没用的。
如果通过用户名和密码认证的话,那么每个人都有各自的用户名称和密码,才能识别用户。那么每个人在登录时要输入识别自己身份的用户名和密码,这样一是麻烦,二来容易被盗用。
如果我通过CA证书“认证”的方式,给可能用到的每个用户发放一个密匙,某台计算机在访问服务器时首先要安装这一个“密匙”,每人的密匙是不一样的,这样就能识别是谁,但我怎么能获得当前访问网站的密匙号码?如果能获得密匙号码我可以和数据库中做对比确定身份。
还有其它更好的方法吗?