简单Web service 身份验证解决方案

问题提出：为了构建一个安全的web服务，需要对调用方进行身份验证，只让通过审核的用户调用web服务。 

软件环境：Web服务程序部署在分布于各地的工厂服务器，这些服务器位于内网之中，没有固定外网IP，且不能通过外网进行访问。调用这些Web服务的是一台连接至internet的WEB服务器，该WEB服务器通过VPN与各个工厂的服务器相连。 

解决方案一：通过SOAP Header传递用户名和密码。 

1. 首先需要在服务中定义一个从 SOAPHeader 派生的类,表示传入 SOAP 标头的数据。

1. public class CredentialSoapHeader : System.Web.Services.Protocols.SoapHeader    
2.  {    
3.   private string _UserID=string.Empty;    
4.   private string _PassWord=string.Empty;    
5.   
6.   public string UserID    
7.   {    
8.    get{return _UserID;}    
9.    set{_UserID=value;}    
10.   }    
11.   public string PassWord    
12.   {    
13.    get{return _PassWord;}    
14.    set{_PassWord=value;}    
15.   }    
16.      
17.   public void Initial(string nUserID,string nPassWord)    
18.   {    
19.    UserID=nUserID;    
20.    PassWord=nPassWord;    
21.   }    
22.   
23.   public bool IsValid(string nUserID,string nPassWord,out string nMsg)    
24.   {    
25.    nMsg="";    
26.    try    
27.    {    
28.     //判断用户名密码是否正确    
29.     if(nUserID == "admin" && nPassWord == "admin")    
30.     {    
31.      return true;    
32.     }    
33.     else    
34.     {    
35.      nMsg="对不起，你无权调用此Web服务，可能有如下原因：\n 1.您的帐号被管理员禁用。\n 2.您的帐号密码不正确";    
36.      return false;    
37.     }    
38.    }    
39.    catch    
40.    {    
41.     nMsg="对不起，你无权调用此Web服务，可能有如下原因：\n 1.您的帐号被管理员禁用。\n 2.您的帐号密码不正确";    
42.     return false;    
43.    }    
44.   }    
45.   
46.   /// <summary>    
47.   /// 用户名密码是否正确    
48.   /// </summary>    
49.   /// <returns>用户名密码是否正确</returns>    
50.   
51.   public bool IsValid(out string nMsg)    
52.   {    
53.    return IsValid(_UserID,_PassWord,out nMsg);    
54.   }    
55.  }   

2. 在Web Services使用 SoapHeader 自定义属性定义一组关联的标头,服务中的每个 WebMethod 都可以使用.(默认情况下，标头是必需的，但也可以定义可选标头) 

Test.asmx代码片段：

1. public CredentialSoapHeader myHeader=new CredentialSoapHeader();   
2.   
3.  // WEB 服务示例    
4.  [SoapHeader("myHeader")]    
5.  [WebMethod(Description="加入了身份验证的web服务",EnableSession=true)]    
6.  public string HelloWorld (string contents)    
7.  {    
8.   string msg = "";    
9.   //验证是否有权访问    
10.   if(!myHeader.IsValid(out msg))    
11.    return msg;    
12.   return "Hello World:"+contents;    
13.  }   

3. 最后客户端在调用要求标头的方法之前，需直接在代理类上设置标头。 
以下是winform客户端代码片段：

1. SoapTest.Test test1 = new SoapHeader.SoapTest.Test();    
2. //创建soap头对象    
3. SoapTest.CredentialSoapHeader header = new SoapHeader.SoapTest.CredentialSoapHeader();    
4. /设置soap头变量    
5. header.PassWord = "admin";    
6. header.UserID = "admin1";    
7. test1.CredentialSoapHeaderValue = header;    
8. //调用web 方法    
9. this.label1.Text = test1.HelloWorld ("wang");   

通过以上步骤就可以完成Web Services自定义身份验证了. 该方案的优点是代码灵活，便于移植，缺点是传递的信息没有加密，可配合SSL进行使用。 

解决方案二：通过集成windows身份验证。 
1. 将web服务程序设为集成windows身份验证。

2.客户端web引用代码 

Test.WebReference.Service1 wr = new Test.WebReference.Service1(); //生成web service实例 
wr.Credentials = new NetworkCredential("guest","123"); //guest是用户名，该用户需要有一定的权限 
lblTest.Text = wr.Add(2,2).ToString(); //调用web service方法

该方案的优点是比较安全，性能较好，缺点是不便于移植，部署工作量大。