Какой самый эффективный / безопасный способ проверки подлинности веб-службы в ASP.NET?

Question

Справочная информация: ** У нас есть веб-приложение ASP.NET, которое предоставляет простые веб-службы ASMX, такие как:

1. string GetOrders(string userName,string password,DateTime orderDate): вернуть строку XML заказы клиентов на основе пользователя (Клиент).

2. void UpdateOrders(string userName, string password, Guid orderGuid, string orderXml): обновить заказ данные (из полезной нагрузки XML) на основе GUID заказа.

Пример:

WebServiceClient proxy = new WebServiceClient();
string xmlData = proxy.GetOrders("james","password",DateTime.Today);

Мой вопрос:

1. AL Хотя мы используем HTTPS: это метод на самом деле сохранить?
2. Что будет лучшей альтернативой в ASP.NET?

Answer 1

Вот аналогичная тема , охватывающая некоторые из этих проблем.

Как правило, даже при подключении SSL не отправляйте пароли в виде открытого текста. Ответ на вызов - это хороший способ защитить ваш пароль, это то же самое, что делают многие банки. По сути, отправьте пользователю метку времени или что-то подобное, что будет зависеть от того, когда вы звоните в службу. Затем попросите пользователя ответить хэшем своего пароля + отметкой времени. Таким образом, даже если хеш пароля перехвачен, его нельзя использовать для доступа к вашему сервису, поскольку в следующий раз, когда он будет вызван, хэш должен быть другим.

Answer 2

1. Передача учетных данных безопасна, поскольку соединение между клиентом и сервером зашифровано. Тем не менее, содержимое соединения не является безопасным. Если SSL-сертификат будет сломан или кто-то расшифрует этот поток трафика, имя пользователя и пароль будут, по сути, в виде открытого текста.

Насколько это безопасно для вас, зависит от характера данных и того, что для вас приемлемо.

2. В качестве альтернативы обновите службы для использования WCF (Windows Communication Foundation). У него гораздо более надежный набор способов работы с аутентифицированным и авторизованным обменом данными для веб-сервисов.