Question

Вот ситуация. У меня есть веб-сервис (C # 2.0), который состоит (главным образом) из класса, унаследованного от System.Web.Services.WebService. Он содержит несколько методов, которые должны вызывать метод, который проверяет, авторизованы они или нет.

В основном как-то так (простите за архитектуру, это просто в качестве примера):

public class ProductService : WebService
{
    public AuthHeader AuthenticationHeader;

    [WebMethod(Description="Returns true")]
    [SoapHeader("AuthenticationHeader")]        
    public bool MethodWhichReturnsTrue()
    {
        if(Validate(AuthenticationHeader))
        {
            throw new SecurityException("Access Denied");
        }
        return true;
    }

    [WebMethod(Description="Returns false")]
    [SoapHeader("AuthenticationHeader")]        
    public bool MethodWhichReturnsFalse()
    {
        if(Validate(AuthenticationHeader))
        {
            throw new SecurityException("Access Denied");
        }
        return false;
    }

    private bool Validate(AuthHeader authHeader)
    {
        return authHeader.Username == "gooduser" && authHeader.Password == "goodpassword";
    }
}

Как видите, метод Validate должен вызываться в каждом методе. Я ищу способ вызвать этот метод, но при этом получить доступ к мыльным заголовкам нормальным способом. Я смотрел на события в global.asax, но не думаю, что смогу получить доступ к заголовкам в этом классе ... Могу я?

Timothy Lee Russell · Answer 1 · 25 сентября 2008

Вот что вам нужно сделать, чтобы это работало правильно.

Можно создать свой собственный SoapHeader:

public class ServiceAuthHeader : SoapHeader
{
    public string SiteKey;
    public string Password;

    public ServiceAuthHeader() {}
}

Тогда вам необходим атрибут SoapExtensionAttribute:

public class AuthenticationSoapExtensionAttribute : SoapExtensionAttribute
{
    private int priority;

    public AuthenticationSoapExtensionAttribute()
    {
    }

    public override Type ExtensionType
    {
        get
        {
            return typeof(AuthenticationSoapExtension);
        }
    }

    public override int Priority
    {
        get
        {
            return priority;
        }
        set
        {
            priority = value;
        }
    }
}

И пользовательское SoapExtension:

public class AuthenticationSoapExtension : SoapExtension
{
    private ServiceAuthHeader authHeader;

    public AuthenticationSoapExtension()
    {
    }

    public override object GetInitializer(Type serviceType)
    {
        return null;
    }

    public override object GetInitializer(LogicalMethodInfo methodInfo, SoapExtensionAttribute attribute)
    {
        return null;
    }

    public override void Initialize(object initializer)
    {        
    }

    public override void ProcessMessage(SoapMessage message)
    {
        if (message.Stage == SoapMessageStage.AfterDeserialize)
        {
            foreach (SoapHeader header in message.Headers)
            {
                if (header is ServiceAuthHeader)
                {
                    authHeader = (ServiceAuthHeader)header;

                    if(authHeader.Password == TheCorrectUserPassword)
                    {
                        return;  //confirmed
                    }
                }
            }

            throw new SoapException("Unauthorized", SoapException.ClientFaultCode);
        }
    }
}

Затем в вашем веб-сервисе добавьте следующий заголовок к вашему методу:

public ServiceAuthHeader AuthenticationSoapHeader;

[WebMethod]
[SoapHeader("AuthenticationSoapHeader")]
[AuthenticationSoapExtension]
public string GetSomeStuffFromTheCloud(string IdOfWhatYouWant)
{
  return WhatYouWant;
}

Когда вы используете этот сервис, вы должны создать собственный заголовок с правильными значениями и прикрепить его к запросу:

private ServiceAuthHeader header;
private PublicService ps;

header = new ServiceAuthHeader();
header.SiteKey = "Thekey";
header.Password = "Thepassword";
ps.ServiceAuthHeaderValue = header;

string WhatYouWant = ps.GetSomeStuffFromTheCloud(SomeId);

Sean Campbell · Answer 2 · 25 сентября 2008

Я бы посмотрел на добавление аспекта безопасности к методам, которые вы хотите защитить. Взгляните на PostSharp , в частности на тип OnMethodBoundryAspect и метод OnEntry.

GregK · Answer 3 · 25 сентября 2008

Вы можете реализовать так называемое расширение SOAP, наследуя класс SoapExtension base . Таким образом, вы сможете проверить входящее сообщение SOAP и выполнить логику проверки перед вызовом определенного веб-метода.

Вызовите определенный метод перед каждым вызовом веб-сервиса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Вызовите определенный метод перед каждым вызовом веб-сервиса

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов