Member 11774876 Ответов: 2

Как ограничить / защитить веб-сервис asmx?

Как обеспечить безопасность веб-сервиса asmx для ограничения внешнего пользователя?

Что я уже пробовал:

Я ничего не пробовал для вышеупомянутой проблемы..

ZurdoDev

Даже от вызова веб-службы?

Изнутри службы просто убедитесь, что они передают токен и проверяют его или используют аутентификацию IIS.

Member 11774876

@RyanDev, реальная проблема заключается в том, что пользователи нашего хостинга говорят, что данные, которые они передают, подвержены воздействию некоторых вредоносных данных. Автоматически различные данные сохраняются в фактическом результате, который они прошли.

Некоторые из тех справок, которые я получил, говорят: "просто безопасность вокруг вызова веб-службы недостаточно жесткая."

Я добавил следующий раздел в web.config.

< location path= "CompleteService/Methods.asmx" allowoverride= "false">
&ЛТ;система.веб&ГТ;
& lt;авторизация>
& lt;запретить пользователям="?">




Это приведет к ограничению внешних пользователей, чтобы сделать так?

Member 11774876

Как я могу проверить наличие токена/проверить его?

2 Ответов

Рейтинг:
2

The Praveen Singh

вы можете управлять ресурсом через файл. config
Примените тег "местоположение" для ресурсов, которые вы хотите защитить. Предполагая, что это один файл ASMX, вы можете просто сделать следующее в своем web.config:

<location path="MyWebService.asmx">
    <system.web>
        <!-- resource specific options will go here -->
    </system.web>
</location>


Второй метод вы используете следующим образом:-

The simplest approach to securing the resource is to basically say: "don't let anyone who hasn't successfully authenticated in some way into this resource". This is done using the following authorization configuration:

<authorization>
    <deny users="?" />
</authorization>
If you wanted to only allow certain users you could change to do the following instead:

<authorization>
    <deny users="*" />
    <allow users="jdoe, msmith" />
</authorization>
Another approach is to define roles (groups) and simply lock the resource down to a special role which you put the users who you want to access the resource into.

<authorization>
    <deny users="*" />
    <allow roles="My Service Users" />
</authorization>

Рейтинг:
2

The Praveen Singh

Статья также опубликована на Code Project в кратком обзоре этой статьи:-
Аутентификация веб-сервиса с помощью UsernameToken в WSE 3.0[^]