Je regarde ce tutoriel http://www.codeproject.com/KB/cpp/authforwebservices.aspx et je me demande quelle est la raison de l'utilisation de l'authentification par le savon? Comme pourquoi ne pas simplement passer le nom d'utilisateur et mot de passe à travers les paramètres à la place?Pourquoi utiliser Soap comme authenitcation dans webservice?
Est-il plus sûr de le faire comme le gars dans le tutoriel verus juste en le passant en paramètre?
Merci
Parce qu'il existe des normes d'authentification WS- * services Web SOAP.
WS-Security est le coupable au travail ici.
Il permet tout, de l'authentification par jeton de nom d'utilisateur/mot de passe à l'authentification X.509. Vous pouvez également utiliser le nom d'utilisateur/mot de passe ou X.509 pour chiffrer le corps du message SOAP afin que vos informations soient plus difficiles à obtenir.
En remarque, .NET 2.0 a des extensions de service Web (WSE) 3.0 pour cela, donc vous n'avez pas besoin de rouler les vôtres (ce que fait l'auteur de votre article). Dans .NET 3.5, vous utiliseriez WCF qui prend en charge la sécurité intégrée de WS-Security.
Eh bien, non, la façon dont ce gars le fait n'ajoute aucune sécurité supplémentaire. Cependant, l'authentification via des en-têtes de savon présente plusieurs avantages lorsqu'elle est implémentée correctement, en utilisant la pile WS *. La pile WS * est fortement basée sur les certificats X.509 utilisés pour la signature et le chiffrement. Un des principaux avantages de ceci est que les identités peuvent être propagées d'un service à un autre, sans avoir à conserver des informations sensibles telles que le nom d'utilisateur et le mot de passe.
Vous avez des tutoriels (en .net C#) qui montrent cela? – chobo2
SOAP départ en-têtes, qui peut être signé et crypté en cas de besoin, et sont pris en charge par un (qui se respecte) environnement de développement SOAP ...
Vous avez des tutoriels avec WCF et cette construction dans la sécurité? Je ne comprends toujours pas pourquoi il est plus sûr que vous ne pouvez pas crypter le nom d'utilisateur/mot de passe et envoyer et toujours le transmettre en tant que paramètre. – chobo2
Voici un rapide tutoriel WCF qui couvre toutes les différentes méthodes pour sécuriser les services Web avec WS-Security (il explique également pourquoi vous voulez): http://www.theserverside.net/tt/articles/showarticle.tss?id = SécurisationWCFService –