许多的公司都有自己的web服务来支撑自己系统内的运营逻辑,并且是非公开的,那么如何对自己的web服务进行验证呢?不可能任何一个知道你的webservice url 的人都可以去调用你的服务,那企业内部那么多数据岂不全被剽窃?我在这开头只是言明web服务验证的重要性,接下来,我将从比较基础的讲起如何使用soapheader来验证。
首先,我们来讲讲什么是soapheader。soap协议是啥我就不好讲了,如果读者还没有明白soap是啥,那阅读这篇文章对你没有用处。soap是由 一个信封,envelop ,一个header,一个body以xml的格式组织而成。请看如下的soap格式,你就明白soap的组成。
<?xml version="1.0" encoding="utf-8"?>
//这个就是soap的信封,也是soap协议的根节点。
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
这个就是头了,注意看头里面的信息,下面会提到。
<soap:Header>
<UserAuthenticationKey xmlns="http://www.com/UFAService/">
<key>string</key>
</UserAuthenticationKey>
</soap:Header>
//这个就是soap协议的体了。这个是你请求这个web方法所带进来的参数,入参。并且表明这些参数的性质,如果是枚举,还会挨个列举出来哦
<soap:Body>
//这个请求的是Search这个web方法,
<Search xmlns="http://www.com/UFAService/">
<PartnerCD>int</PartnerCD>
<GetOrders>boolean</GetOrders>
<GetCustomers>boolean</GetCustomers>
<GetStoredValueAccounts>boolean</GetStoredValueAccounts>
<GetPaymentDevices>boolean</GetPaymentDevices>
<CustomerNumber>string</CustomerNumber>
<FirstName>string</FirstName>
<LastName>string</LastName>
<PostalCode>string</PostalCode>
<EmailAddress>string</EmailAddress>
<MDN>string</MDN>
<PaymentDeviceNumber>string</PaymentDeviceNumber>
<OrderNumber>string</OrderNumber>
<ANI>string</ANI>
<IPAddress>string</IPAddress>
</Search>
</soap:Body>
</soap:Envelope>
好了,经过我的注释,应该明白什么是soapheader了吧。下面,还有你成功通过验证后调用了web方法,返回的soap,可以看看。
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<SearchResponse xmlns="http://www.com/UFAService/">
<SearchResult>
//返回的时是一个xml格式的dataset <xsd:schema>schema</xsd:schema>xml</SearchResult> </SearchResponse> </soap:Body> </soap:Envelope>
接下来,我们开始在代码中如何实现这个soap协议了。
第一步,新建一个asp.net web服务,建一个类,这个类要继承soapheader这个类,并且有个公有的字段,来用作验证钥匙。代码如下:
public class UserAuthenticationKey : SoapHeader
{
private string key;
public UserAuthenticationKey()
{
key = "hello";
}
public string Key
{
get { return key ; }
set { key = value ; }
}
}
然后,开始写web方法了。在web方法所在的那个类中,需要使用到继承那个类的对象,我们使用黑箱复用,在web方法所在类加入一个他的对象即可实现。还有一个不要忘记的是在web方法上要标明[SoapHeader("Key")] 这个key就是你要公开去验证的那个。当然,你的判定可以更加复杂,那是你自己的实现问题了。在我这里,只要你传进来的Key是"hello"就能验证通过。
public class MyService : System.Web.Services.WebService
{
private UserAuthenticationKey UAkey = new UserAuthenticationKey();
public UserAuthenticationKey Key
{
get { return UAkey; }
set { UAkey = value ; }
}
[WebMethod(BufferResponse = true,Description = "欢迎方法" ,CacheDuration = 0,EnableSession=false,
MessageName = "HelloFriend")]
[SoapHeader("Key")]
public string Welcome(string username)
{
if(this.Key.Key=="hello")
return "Welcome " + username;
else
return"wrong!";
}
最后,该说说怎么写客户端的调用了。这个是非常有学问的了。下面的代码,是客户端创建web服务对象的代码,先看,我再解释。
public static UFAService CreateWebServiceInstance()
{
UFAService proxy = new UFAService();
string timeout = ConfigurationSettings.AppSettings["WebServiceTimeout"];
if ( timeout != null && !timeout.Equals(String.Empty) )
{
proxy.Timeout = Convert.ToInt32(timeout);
}
string ufaServiceURL = ConfigurationSettings.AppSettings["UFAServiceURL"];
if ( ufaServiceURL != null && !ufaServiceURL.Equals(String.Empty) )
{
proxy.Url = ufaServiceURL;
}
UserAuthenticationKey key = new UserAuthenticationKey();
key.key = ComputeHash();
//注意这个computHash这个方法,非常重要,
proxy.UserAuthenticationKeyValue = key;//还有这个UserAuthenticationKeyValue是怎么来的呢?原来是系统在web对象上添加的这个字段的值
proxy.Credentials = System.Net.CredentialCache.DefaultCredentials;
return proxy;
}
这些步骤差不多都比较容易理解,关键是如何对字段进行加密,你可以采用多种方式来定义computHash这个方法来返回这个字符串,然后再传进web服务的时候进行复杂的验证过程,比如把你机器的AD(active directory)号码,加上当前的日期,或者加上你的座机电话等等,再进行md5加密,再用指定的方法再包装。。。当然,所有的工作必须要你的web服务端支持才行。