Tag: http authentication

我们应该实施什么来授权客户使用我们的网络服务？: 我们有一个Web服务，我们将在公共Web服务器上托管，它将通过托管在医院墙内的Web服务器上的Web服务进行联系。我们已经编写了两个软件，因此我们可以完全控制实现的内容。我们希望保护两个Web服务器之间的通信。目前我们唯一拥有的是公共Web服务器上的https和用于识别客户端的guid。我们可以支持网络级别的授权，但我不喜欢依赖这些，因为并非所有客户（医院）都可以做同样的事情。有些人无法为我们提供静态IP，有些人无法使用VPN，因此我们无法完全依赖这些方法。您使用了哪些技术或建议您授权与Web服务进行通信？我们主要关心的是让人们无法获得医院ID（目前只是一个GUID）并从我们的医院Web服务中获取数据。我们将采用其他网络级别的安全措施来限制公众对我们系统的访问，但我觉得软件解决方案也是必要的。该系统尚未投入生产，但即将完成开发。它是在C＃on .net 3.5上开发的 FWIW我正在考虑某种基于令牌的授权，因为我知道以前的雇主在这些方面使用了某些东西。但是，我不知道具体要查找的内容或有关该主题的任何其他信息。编辑：虽然我想使用WCF，但目前团队中没有人（包括我自己）有任何使用它的经验，我们已经开发了Web服务以及与它们交互的代码。所有使用.net 2.0方法添加的Web引用（来自vs.net08，目标是.net 3.5），我们宁愿不完全重做。我不会说WCF不是一个选项，但我认为我们不会随意使用该选项。

使用证书身份validation访问Web服务和HTTP接口: 这是我第一次使用证书身份validation。商业合作伙伴公开两种服务，XML Web服务和HTTP服务。我必须使用.NET客户端访问它们。我试过的 0.设置环境我已使用certmgr.exe在本地计算机（win 7 professional）中安装了SSLCACertificates（在root和两个中间）和客户端证书。 1.对于Web服务我有客户证书（der）。该服务将通过.NET代理使用。这是代码： OrderWSService proxy = new OrderWSService(); string CertFile = “ClientCert_DER.cer”; proxy.ClientCertificates.Add(new System.Security.Cryptography.X509Certificates.X509Certificate(CertFile)); orderTrackingTO ot = new orderTrackingTO() { order_id = “80”, tracking_id = “82”, status = stateOrderType.IN_PREPARATION }; resultResponseTO res = proxy.insertOrderTracking(ot); 最后一条语句报告的exception： The request failed with an empty response 。 2.对于HTTP接口它是我必须通过POST方法调用的HTTPS接口。 […]