• 【蛙蛙推荐】基于令牌的分布式身份验证


    思路:
    web服务使用虽然方便,但安全是个问题,在企业开发中,经常面临多界面的客户端,使用你的服务的可能是个桌面程序也可能是个移动应用,这就要求集中的身份验证,而web服务来做这个事情是最合适不过的。我们先来用一个UserLoginInfo来保存登陆用户的令牌(token),主机地址(host)和安全上下文(IPrincipal),当然了真实环境中这些东西肯定应该是保存在数据库中的,然后写个sql job来定时清理过时的令牌。我们首先要写个身份验证的web服务(AuthenticateService.asmx),此服务用来进行身份验证,令牌检测,用户注销,获取安全上下文等功能。然后我们要开发一个业务服务的基类(ServiceBase.cs),因为调用每个业务服务的时候要保证这个调用是授权的,所以有好多共性的东西,所以我们提取一个基类出来,它主要有验证令牌,角色检验,注销等方法。因为web服务是无状态的,所以我们要用SOAP头来传递令牌,这样我们要定义一个tokenHeader的SOAP头,并把它声明在每个需要身份验证的web方法前。这样你就可以开发你的安全的业务服务了。
    流程是这样的,你要使用一个业务服务,首先从身份验证服务那里进行身份验证,这时候会身份验证服务返回一个令牌,并把这个令牌和你的主机IP保存在UserLoginInfo的字典类里,你获取到这个这个令牌后把它缓存起来,然后在调用业务服务的时候把令牌赋值给SOAP头,它会自动传递。业务服务收到你的调用后,首先会调用基类的身份验证方法看看这个令牌是否合法(UserLoginInfo类里是否保存有这个令牌),然后检查你的IP是否和此令牌匹配,如果完全检查通过再让你使用实际的业务服务,否则会抛出Web异常,然后包装成SOAP异常,你客户端获取SOAP异常后再进行解析成友好的错误提示。
    下载地址:https://files.cnblogs.com/onlytiancai/EnterpriseDev.rar

    简介:
    思路介绍完了,简单介绍一下如何实现的,下面是一个业务服务方法
        EntitySerializer es = new EntitySerializer(EntitySerializeType.Xml);
        [WebMethod]
        [SoapHeaderAttribute("Token",
             Direction = SoapHeaderDirection.In)]
        public string GetAllOrders()
        {
            Authenticate();

            return es.SerializeArray(service.GetAllOrders());
        }
    可以看到调用它需要传送一个SOAP头,这个SOAP头会填充私有变量Token(简单起见,令牌用GUID格式),然后调用基类的Authenticate()方法进行身份检查,检查通过后调用实际的业务逻辑。
    注意:
    1、NBear的持久层返回的实体都是接口,接口是不可以直接序列化的,所以不能通过WEB服务传递,这样就需要使用NBear的使用函数来把返回接口序列化成字符串再传递,然后客户端也用此类来解序列化。
    2、web服务的令牌用SOAP可以简单的传递,如果是Remoting的话用System.Runtime.Remoting.Messaging.CallContext.SetData()和GetData()让令牌自动在上下文中传递。

    再看看客户端如何调用,我们用一个winform窗体TestWebService.cs(TestApp项目)来演示。

        //调用身份验证服务进行身份验证并缓存令牌
        loginToken = service.Authenticate(txtName.Text, txtPassword.Text);

        //实例化业务服务,创建SOAP头,并给SOAP头用缓存的令牌赋值
        usefulService = new TestApp.OrderOperator.OrderService();
        usefulService.TokenHeaderValue = new TestApp.OrderOperator.TokenHeader();
        usefulService.TokenHeaderValue.InnerToken = loginToken;
       
        //使用业务服务获取数据并解序列化成接口实体数组,最后绑定到控件上
        orders = es.DeserializeArray<Orders>(usefulService.GetAllOrders());
        listOrders.DisplayMember = "OrderID";
        listOrders.DataSource = orders;

    注释写的很清楚了,不多说了,更详细的演示看下载的代码。

    这次更新的代码又添加了以下几项技术。
    1、winform2.0的TableLayoutPanel控件的使用
    2、SOAP头的使用
    3、SOAP异常的包装
    4、NBear的序列化和解序列化

    声明:演示代码中的Soap异常的包装和反包装是用的zongsoft的

    下一步演示是Wap站点和Web门户,然后再演示remoting的性能计数、跟踪、授权等技术。

  • 相关阅读:
    如何使用git提交代码
    Eclipse升级ADT
    android学习:android开发常见技巧设置,提高开发效率
    Apache -Common-lang包使用
    最全的常用正则表达式大全——包括校验数字、字符、一些特殊的需求等等
    Asp.Net MVC entity framework模型验证
    Activity启动模式
    http服务器交互get,put,post,delete等说明
    js模块化插件开发
    Android Asynchronous Http Client异步网络请求使用
  • 原文地址:https://www.cnblogs.com/onlytiancai/p/478095.html
Copyright © 2020-2023  润新知