безопасность для веб-сервиса многими способами

Question

Я планирую написать веб-приложение .net с использованием SOA, что означает, что операции с данными выполняются с использованием веб-методов. Будет много, много методов, поэтому я получил следующие вопросы:

1. как мне обращаться с безопасностью?
2. я должен разделить их на больше услуг?
3. называть их с помощью отражения?

Любые советы помогут, потому что я новичок в SOA ..

Answer 1

Я бы предложил вам использовать WCF вместо .Net веб-сервисов. WCF дает вам большую гибкость в отношении безопасности и многие другие аспекты. Особенно: SOA не равняется веб-сервисам. С помощью WCF вы можете настроить канал, по которому отправляются ваши данные (то есть HTTP, TCP, MSMQ и т. Д.).

Что касается Reflection, я не вижу причин использовать его. Отражение медленное, сложное для отладки и совсем не связанное с SOA. Отладка SOA достаточно сложна, поэтому используйте рефлексию с осторожностью.

Answer 2

Как вы можете себе представить, это не простая тема. Поэтому я бы разделил его следующим образом: как минимум, ваш вопрос включает в себя два аспекта безопасности:

• Аутентификация: зная, кто ваш вызывающий абонент
• Авторизация: знание того, что разрешено делать этой вызывающей части

У вас есть разные варианты для обоих. Например вы можете обрабатывать аутентификацию с помощью нескольких стандартов, таких как WS- {Security | Trust | и т. д.}, а с другой стороны, авторизацию с помощью ролей AzMan (что BTW не очень хорошо масштабируется).

Что касается технологий, я согласен с другими постами, вы должны выбрать WCF. Это позволяет вам использовать эти стандарты и предоставлять вам больше возможностей для различных аспектов безопасности, включая аудит.