簡(jiǎn)單的web WebService安全框架

第第頁(yè)簡(jiǎn)單的webWebService安全框架簡(jiǎn)單的webWebService安全框架

發(fā)表于：2023-05-26來源：博客園：叩亦杰點(diǎn)擊數(shù)：標(biāo)簽：安全

1.有關(guān)生存期的補(bǔ)充正常情況下，每次調(diào)用WebMethod，服務(wù)器都會(huì)創(chuàng)建一個(gè)新的WebService對(duì)象，即便客戶端使用同一個(gè)代理對(duì)象多次調(diào)用WebMethod。而我們一旦調(diào)用了有緩存標(biāo)記的WebMethod，只要未超出緩存期，WebService對(duì)象都不會(huì)被重新創(chuàng)建。

1.有關(guān)生存期的補(bǔ)充

正常情況下，每次調(diào)用（Web）Method，（服務(wù)器）都會(huì)創(chuàng)建一個(gè)新的（Web）Service對(duì)象，即便客戶端使用同一個(gè)代理對(duì)象多次調(diào)用WebMethod。而我們一旦調(diào)用了有緩存標(biāo)記的WebMethod，只要未超出緩存期，WebService對(duì)象都不會(huì)被重新創(chuàng)建。在緩存期內(nèi)調(diào)用沒有緩存標(biāo)記的WebMethod，也會(huì)繼續(xù)使用該WebService對(duì)象。有太多因素讓這個(gè)緩存機(jī)制變得不那么可靠，因此我們不能奢望用緩存標(biāo)記來維持特定的對(duì)象狀態(tài)，況且緩存機(jī)制的設(shè)計(jì)初衷也只是為了快速輸出那些比較穩(wěn)定非常大的數(shù)據(jù)。

基于多用戶并發(fā)調(diào)用這個(gè)環(huán)境，WebService本身最好設(shè)計(jì)成無(wú)狀態(tài)對(duì)象，我們可以使用Session和Application來保持特定的狀態(tài)信息。

2.異步調(diào)用

網(wǎng)上很多人在寫有關(guān).net2.0的文章時(shí)，都喜歡用"優(yōu)雅'這個(gè)詞。的確，在2.0中編譯器和代碼生成器為我們封裝了很多羅嗦的東西，諸如匿名方法、委托推斷等等，當(dāng)然還有這WebService的異步調(diào)用。我們不用再寫那些個(gè)BeginXXX、EndXXX了，基于事件驅(qū)動(dòng)的異步機(jī)制會(huì)自動(dòng)為每個(gè)WebMethod生成一個(gè)XXXAsync的異步方法和XXXCompleted事件，我們只需調(diào)用該方法，并處理該事件即可完成異步操作，當(dāng)真是優(yōu)雅了不少。不要小看2.0的這些封裝，我們編寫的代碼越少意味著出錯(cuò)的幾率越小。

下面的示例中，我們使用了匿名方法來處理事件，看上去更簡(jiǎn)潔了些。

代碼

3.緩存

WebMethodAttribute.CacheDuration為WebService提供了緩存申明機(jī)制。通過添加該標(biāo)記，我們可以緩存輸出結(jié)果。不過緩存機(jī)制會(huì)影響WebService的生存期(見上)。

代碼

4.保持狀態(tài)

（.NET）WebService是建立在ASP（.NET）基礎(chǔ)上，在WebService中我們同樣可以訪問Session、User、Application等上下文對(duì)象，不過在某些使用細(xì)節(jié)上可能有所不同。由于WebService客戶端代理對(duì)象可能應(yīng)用于ConsoleApplication、WinForm或WebForm等環(huán)境，而Session又必須通過Cookie來保存唯一的SessionID，因此我們必須使用CookieContainer創(chuàng)建Cookie容器來保存WebService返回的Session信息，否則每次調(diào)用的SessionID都不同，自然無(wú)法使用Session來保存狀態(tài)了。

創(chuàng)建容器對(duì)象后，必須將其引用賦值給代理對(duì)象的CookieContainer屬性。在第一次調(diào)用SessionEnabledWebMethod后，該容器將持有SessionCookie信息。如果需要在多個(gè)代理對(duì)象中調(diào)用SessionEnabledWebMethod，那么它們必須持有同一個(gè)Cookie容器對(duì)象。

代碼

5.SoapHeader

SoapHeader多數(shù)情況下用來傳遞用戶身份驗(yàn)證信息，當(dāng)然它的作用遠(yuǎn)不止如此，有待于在實(shí)際應(yīng)用中發(fā)掘。SoapHeader缺省情況下由客戶端代理對(duì)象發(fā)送給WebService，當(dāng)然我們可以通過WebMethodAttribute.Direction來改變傳送方向。

SoapHeader使用步驟：

(1)創(chuàng)建繼承自System.Web.WebServices.SoapHeader的自定義SoapHeader類型。

(2)在WebService中創(chuàng)建擁有public訪問權(quán)限的自定義SoapHeader字段。

(3)在需要使用SoapHeader的WebMethod上添加SoapHeaderAttribute訪問特性。SoapHeaderAttribute構(gòu)造必須指定memberName參數(shù)，就是我們?cè)诘诙街猩昝鞯淖侄蚊Q。

(4)生成器會(huì)自動(dòng)為客戶端生成同名的自定義SoapHeader類型，只不過比起我們?cè)赪ebService端創(chuàng)建的要復(fù)雜一些。同時(shí)還會(huì)為代理類型添加一個(gè)soapheaderValue屬性。

在下面的演示代碼，客戶端將傳遞一個(gè)自定義MyHeader到WebService。請(qǐng)注意，我們盡管在WebService中申明了MyHeader字段，但并沒有創(chuàng)建對(duì)象實(shí)例，這是因?yàn)榭蛻舳藗鬟f過來的XML中包含了SoapHeader信息，基礎(chǔ)結(jié)構(gòu)會(huì)自動(dòng)解析并創(chuàng)建對(duì)象實(shí)例，然后賦值給my字段。至于客戶端，自然需要?jiǎng)?chuàng)建一個(gè)MyHeader對(duì)象實(shí)例，并賦值給WebService.MyHeaderValue屬性。SoapHeaderAttribute.Direction缺省就是In，下面例子中的Direction=SoapHeaderDirection.In可以省略。

代碼

我們改寫一下，將傳遞方向改為從WebService到客戶端。自然我們需要調(diào)整Direction=SoapHeaderDirection.Out，在