** 应用 WSDK - 实践 Web Services 的数字签名 **
小气的神
2002-12-05
Article Type: In-Depth
难度等级: 8.2/9
版本: 1.36
老实说有关 Security (安全)的话题,从来不是我的强项,如果可以我宁愿多说一些有关企业级应用开发、有关组件、 COM+ 的话题。不过 Web Services 是我喜欢的、 Internet 是我喜欢的,所以有关 Web Services 的安全话题是不能逃避的,无论我对这方面多么的贫乏,尝试还是愿意的。世界上的许多事情就是这么奇妙的:我的老哥一心向往天空,不想毕业后却去了海运局工作了很久;我的好友立志 30 岁才结婚,没想到居然网恋成功,娶得一个貌美贤惠的网友,加上结婚生子现在也还是 30 未到;而我一直很喜欢广州这座城市的氛围,没想到会迷上广州的饮食,有好吃的城市才是美丽的城市 :)
Microsoft XML Web Services 的第一个版本,也就是我们现在用的最多的版本,没有提供对 SOAP 消息进行安全方面处理的支持,也可以说那时 ** WS-Security ** 还没完成。 WSDK 则增加了 WS-Security 的支持和处理。
最简单的说 WS-Security 主要提供了三个方面的机制来保护我们年轻的 Web Services :
1. Security token propagation ( 解决 Security Credentials 可以被在网络间进行传播 )
2. Message integrity (对消息是否在中间点是否被修改进行验证 [Verify] )
3. Message Confidentiality ( 保证消息在未解密前依然是机密有效的 )
生活最通俗的解释是通过戏剧来表现,比如《哈姆雷特》。哈姆雷特,这个在城堡中游荡的著名黑客,与丹麦国王克劳底斯对决,扬言要杀害许多城堡中居民,克劳底斯则决定干掉哈姆雷特而一劳永逸;于是他派了亲信罗森克劳茨和古登斯坦送哈姆雷特去英格兰。他俩携带一封密信,信上要求一到英格兰就立即将哈姆雷特处死,和哈姆雷特一起的旅途是漫长和极具挑战性的,但是国王、罗森克劳茨和古登斯坦都忘了采取措施来保证:
1. 哈姆雷特不能阅读这封信
2. 哈姆雷特到达英格兰前不能修改这封信
最后这个著名的丹麦黑客,在另外两人熟睡的时候,偷看了信的内容,轻易地将要处死的人改为熟睡的两个国王亲信,并且在信封上盖上他父亲前丹麦国王的印章。作为国王的两个亲信从未想过要看这份信的内容,而且也从未想到自己一到英格兰就被处死。
那么我们看到有关安全最基本的三个问题:
1. 丹麦国王克劳底斯要有办法将信安全的送到英格兰国王的手上。
2. 英格兰国王如何验证信的内容是否为原始信件。
3. 在英格兰国王没有打开信件之前,信中的内容依然是高度机密的。
而当这些问题发生在 Internet 和 Web Services 就更有趣了, WS-Security 就是完成这个功能的。(如果你哈姆雷特的故事感兴趣,除了看这篇文档最早我是在 Java 安全性编程指南 [Professional Java security] 上看到的) 这篇文章也同样是 Web Services 有关安全的开始,下面我们要做的就是上面将的第一个问题,解决 Security Credentials 在网络间进行传递的问题。
我将利用 WSDK 来实践一个 Web Services 的客户端使用 UsernameToken 数字签名一个 SOAP 消息,同时 Web Services 又是如何处理这个被 UsernameToken 签名的消息。我尽量简化了有关加密的处理和流程,试图说明整个的过程,从后面附带的源代码中你可以看到这一点。
整个过程我们会生产一个 Web Services 和一个 Web Services 的客户端,同时最多的还是进行一些配置。运行通过的环境 Windows XP SP2 / VS.NET 1.0 / WSDK 5217+
** 生成服务器端部分: **
** 1. ** ** 建立一个 Web Services ** ** 项目 SignSOAPusingName ** ** 。 **
** 2. ** ** 加入 Microsoft.Web.Services.DLL ** ** 引用。 **
** 3. ** ** 点击 SignSOAPUsingName.asmx.cs ** ** 加入下面的代码: **
using System.Web.Services.Protocols ;
using Microsoft.Web.Services.Security ;
using Microsoft.Web.Services;
using System.Security.Cryptography ;
** 4. ** ** 去到 HelloWorld ** ** 的注释代码并加入下面的代码: **
[WebMethod]
public string HelloWorld()
{
SoapContext requestContext = HttpSoapContext.RequestContext ;
string retval = "User unknown" ;
if ( requestContext == null )
throw new ApplicationException( " Non-SOAP request" ) ;
if ( !IsValid( requestContext ) )
{
throw new SoapException( "The security infomation Supplied was not valid .", new System.Xml.XmlQualifiedName("Bad Tokens", "http://www.dotnetTools.org/SignSOAPUsingName" ) ) ;
}
UsernameToken theToken = GetUsernameToken( requestContext.Security ) ;
if ( theToken != null )
{
return "Hello " + theToken.Username ;
}
return retval ;
}
** 5. ** ** 在 web.config ** ** 中配置 WSDK ** ** 的 Microsoft.Web.WebServices **
< webServices >
< soapExtensionTypes >
< add type ="Microsoft.Web.Services.WebServicesExtension,Microsoft.Web.Services,Version=1.0.0.0, Culture=neutral,PublicKeyToken=31bf3856ad364e35" priority ="1" group ="0"/>
** 6. ** ** 加一个新的类实现 IPasswordProvider **
using System;
using System.Security.Permissions ;
using System.Security.Cryptography ;
using Microsoft.Web.Services.Security ;
namespace SignSOAPUsingName
{
[SecurityPermission(SecurityAction.Demand, Flags=SecurityPermissionFlag.UnmanagedCode)]
public class PasswordProvider : IPasswordProvider
{
HashAlgorithm hash ;
public PasswordProvider()
{
hash = new SHA1CryptoServiceProvider() ;
}
public string GetPassword( string userName )
{
byte [] encodedUsername = System.Text.Encoding.UTF8.GetBytes( userName ) ;
Array.Reverse(encodedUsername); //这里我简化了处理,先不考虑那些加密函数
return Convert.ToBase64String(encodedUsername);
}
}
}
** 7. ** ** 在 web.config ** ** 中配置 PasswordProvider **
< microsoft.web.services >
< security >
< passwordProvider type ="SignSOAPUsingName.PasswordProvider, SignSOAPUsingName" />
** 8. ** ** 运行和 Build ** ** 应用程序, F5 ** ** 运行看 Web Services ** ** 是否正常运行 **
特别:
本文原创, CSDN 署名首发,所有文字和图片版权所有。未经授权请勿传播、转载或改编。
如果有问题或建议, 请发电子邮件给 [email protected]
欢迎访问我的 WebSite : www.dotNETTools.org