基于ＳＯＡＰ头的Ｗｅｂ服务身份验证技术.docVIP

基于ＳＯＡＰ头的Ｗｅｂ服务身份验证技术 　　摘要：介绍基于SOAP头的Web服务身份验证技术，并通过具体示例说明在.NET平台下的编程模式。 　　关键词：Web服务；SOAP头；身份验证；ASP.NE；C# 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2009)04-0849-02 　　Authentication Technology of Web Services Based on SOAP Header 　　LU Shou-dong 　　(Department of Computer And Information Management, Guangxi University of Finance and Economics, Nanning 530003, China) 　　Abstract: This paper introduces the authentication technology of Web Services based on SOAP header, and explains its programming pattern under .NET plat through the concrete example. 　　Key words：Web Services; SOAP Header; Authentication; ASP.NET; C# 　　Web服务（Web Services）是目前最为流行的应用于异构环境的分布式组件开发技术。作为一种部署在Web上的可编程访问的对象，如何确保其安全性是在具体应用中必须考虑的一个重要问题。为控制对Web服务的合法访问，对服务使用者的身份进行验证是很有必要的。本文主要介绍一种基于SOAP头的Web服务身份验证技术，并通过具体示例说明其编程模式。 　　1 Web服务简介 　　Web服务是一种通过网络进行发布、发现、调用的自描述的服务器端软件组件，其实现依赖于一系列的标准协议或规范（如图1所示），包括HTTP、XML、SOAP、WSDL、UDDI等。简言之，Web服务以XML与XML Schema为数据编码格式与数据类型标准，使用WSDL进行描述，使用UDDI进行发布与发现，使用SOAP进行访问，并通过HTTP等进行传输。Web服务的上层核心标准都是基于XML的，具有优异的跨平台特性，这为Web服务在异构平台上进行系统的集成与交互提供了充分的保证。 　　2 SOAP协议概况 　　SOAP即简单对象访问协议（Simple Object Access Protocol），是一种基于XML的、简单的、轻量级的通信协议，用于在客户端与Web服务之间传递消息（包括请求消息与响应消息）。 　　SOAP协议使用XML描述消息。一个SOAP消息其实是一个XML文档，包括Envelope（SOAP信封）、Header（SOAP头）、Body（SOAP体）3个元素。其中，Envelope是整个SOAP消息的根元素，是必须的；Header是SOAP消息是可选元素，若存在，则必须是Envelope的第一个直接子元素；Body是SOAP消息必须有的元素，而且是Envelope的直接子元素，用于包含Web服务的调用信息（如所调用方法的名称及有关参数等）或响应信息以及相关的错误信息。SOAP消息的结构如图2所示。 　　在SOAP消息中，SOAP体的使用是由SOAP协议规定，而SOAP头的使用则较为灵活，可由用户根据需要进行定制。通常，可在SOAP头中添加一些条目，以包含具体应用所必须的重要信息（如账户信息、事务标识等），并据此实现相应的功能。 　　3 基于SOAP头的身份验证 　　通过在SOAP头中添加适当的验证信息，并由Web服务的进行读取与处理，即可实现对服务使用者的身份验证。在此，以ASP.NET Web服务为例，说明基于SOAP头的Web服务身份验证技术。 　　3.1 基本步骤 　　ASP.NET Web服务允许定义并处理SOAP头条目，其基本步骤为： 　　1) 创建一个继承自SoapHeader的类AuthSoapHeader，该类的名称与公共成员变量即为SOAP头条目元素的名称与内容子元素。 　　2) 在Web服务类中声明一个AuthSoapHeader类的公共变量MyASH。 　　3) 为Web服务的有关方法应用SoapHeader属性，并将其MemberName属性设置为MyASH。 　　4) 在应用了SoapHeader属性的Web服务方法中访问MyASH的成员变量，并完成相应的处理过程。 　　相应地，在调用Web服务的客户端，可通过以下基本步骤设置SOAP头条目： 　　1) 创建一个Web服务的实