मैं अपने वेब सेवा को प्रमाणीकृत करने के सर्वोत्तम तरीके पर कुछ मार्गदर्शन ढूंढ रहा हूं। अभी, मेरे पास .NET 3.5 पर एक मानक वेब सेवा है, और एक एमवीसी वेबसाइट जो इस वेब सेवा के शीर्ष पर बैठती है।वेब सेवा के साथ ओपनआईडी का उपयोग करना: प्रमाणित करने का सबसे अच्छा तरीका?
एमवीसी वेबसाइट उपयोगकर्ताओं को प्रमाणित करने के लिए ओपनआईडी का उपयोग करती है, और विकास चरण के दौरान, हम प्रमाणीकृत करने के लिए वेब सेवा पर उपयोगकर्ता के ओपनआईडी दावा किए गए पहचानकर्ता को पास कर चुके हैं। स्पष्ट रूप से यह नहीं है कि जब हम लाइव रहते हैं तो हम ग्राहक को रिहा कर देंगे।
तो मेरा सवाल यह है: वेब सेवा को प्रमाणीकृत करने का सबसे अच्छा तरीका क्या है?
कुछ एपीआई मैंने उपयोग प्रमाणीकरण टोकन के साथ खेला है। वेब सेवा के संबंध में हमारे पास एक और विचार था, क्लाइंट को एक एन्क्रिप्शन कुंजी पास करें जिसे वे सभी स्थानान्तरण के लिए उपयोग कर सकते हैं।
मैं यहां जोर से सोच रहा हूं, और फिर, किसी भी मदद की बहुत सराहना की जाती है! धन्यवाद!
...
अद्यतन: अभी मैं जो एक OpenIdURL संपत्ति है एक कस्टम SoapAuthenticationHeader बनाया है। यह उपयोगकर्ता को प्रमाणित करने के लिए सभी सेवा कॉल पर उपयोग किया जाता है। समस्या दो गुना है:
- यदि हैकर को उपयोगकर्ता का OpenIdURL पता है, तो वे आसानी से वेब सेवा तक पहुंच प्राप्त कर सकते हैं।
- ओपनआईड्लर वर्तमान में सादा पाठ में पारित किया गया है।
तो मैं वेब सेवा के संबंध में क्लाइंट को एन्क्रिप्शन कुंजी पास कर सकता हूं, और क्लाइंट को SoapAuthentication शीर्षलेख में OpenIdURL एन्क्रिप्ट कर सकता है। लेकिन मैं के बारे में कैसे सबसे अच्छा है कि के बारे में जाने के लिए यकीन नहीं है ...
जब आप कहते हैं कि "मानक वेब सेवा" आप एक विरासत ASMX सेवा मतलब है, या आप WCF का उपयोग कर रहे हैं? –
यह जो मैं चाहता हूं उसके करीब है, लेकिन यह बहुत अच्छा होगा अगर कोई इसे थोड़ा और समझा सके। http://stackoverflow.com/questions/544388/openid-authentication-and-api-access –
मैं एक मानक एएसएमएक्स वेब सेवा का उपयोग कर रहा हूं, और एमवीसी वेब सेवा को सेवा संदर्भ के रूप में एक्सेस कर रहा है (जो मुझे लगता है कि एक डब्ल्यूसीएफ है आवरण?)। –