博客园-只有平淡无奇的人才会觉得生活平淡无奇,换个聚焦点,你会发现这个世界有很多美好的东西。-最新评论

博客园-只有平淡无奇的人才会觉得生活平淡无奇,换个聚焦点,你会发现这个世界有很多美好的东西。-最新评论http://www.cnblogs.com/Jonllen/CommentsRSS.aspxzh-cnThu, 14 Aug 2008 05:35:36 GMTThu, 14 Aug 2008 05:35:36 GMTcnblogsre: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216979古巴古巴Tue, 03 Jun 2008 07:56:36 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216979
另外，楼主提到客户端有Flex和Asp.Net，这个Asp.Net就是一个Web站点吧？是的话，楼主要注意下了，如果是Flex的话，应该是用户直接通过Flex调用WebService，那么当前用户的计算机就是实际的WebService客户端，但如果用户是访问某个Web站点，然后由这个Web应用程序再去访问WebService，那么此时对于WebService来说，实际上客户端只是这台Web站点的服务器，而不是这个Web站点的实际用户计算机，在进行身份验证的时候就需要注意下，需要在你的Asp.Net程序里面向WebService提供当前实际用户的身份凭证，个人觉得从这点看，Session就不是很合适了，SoapHeader反而可以比较方便的解决这个问题。

古巴 2008-06-03 15:56 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216729rosanshaorosanshaoTue, 03 Jun 2008 03:56:37 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216729http://www.cnblogs.com/rosanshao/archive/2007/10/14/923906.html
这儿能解决你的问题，这儿有比较详细的解决方案，使用Server端使用Session，Client使用CookieConter，如果是Flex也是一样的，获取到Cookie后，提交到服务器。这样的解决，改动，扩展比较方便。

使用SoapHeader也可以，如果你的方法比较多，每个WebService都要去加一句判断，相当不方便。可以加个HttpMoudle，判断SoapHeader的用户名和密码，以及请求的URL来判断是古接受此请求。

rosanshao 2008-06-03 11:56 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216695Jonllen PengJonllen PengTue, 03 Jun 2008 03:35:57 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216695
在WebService服务器端:
public HeaderContainer header;//申明一个SoapHeader
//登陆,成功之后暂返回用户实体里面的用户ID，然后在发送到客户端以标识用户,MemberItem为用户Model
[WebMethod(Description = "根据用户名密码返回用户详细信息,返回NULL则登陆失败!",EnableSession=true)]
[System.Xml.Serialization.XmlInclude(typeof(MemberItem))]
[SoapHeader("header", Direction = SoapHeaderDirection.Out)]
public MemberItem MemberLogin(string username, string password)
{
if (username.Equals(string.Empty) || password.Equals(string.Empty))
return null;
MemberItem item = MemberManager.MemberLogin(username, password);

header = new HeaderContainer();
if (item != null)
header.SessionID = item.Member_inner_code;
return item;
}
//修改密码,需要有才登陆后的唯一标识
[WebMethod(Description = "修改指定用户的密码,且要修改的用户为当前登陆的标识的用户.",EnableSession=true)]
[SoapHeader("header", Direction = SoapHeaderDirection.In)]
public bool MemberChangePwd(int memberID, string password)
{
if (password.Equals(string.Empty))
return false;

if (header != null)
{
if (header.SessionID == memberID)
{
MemberManager.MemberChangePwd(memberID, password);
return true;
}
else return false;
}
return false;
}

//在.Net的客户端的调用
MallMember m = new MallMember();//申明页面级全局WebService
//登陆
MemberItem item = m.MemberLogin("123", "123");
if (item != null)
{
Session["Member"] = m.HeaderContainerValue;//登陆成功在保存从服务器端发送过来的标识
}
else Response.Write("失败！");
//修改密码
MallMember.HeaderContainer header = (MallMember.HeaderContainer)Session["Member"];
m.HeaderContainerValue =header;//给SoapHead(里面包含有SessionID)赋值一起发送到服务器端去,服务器能接受并处理。
Response.Write(m.MemberChangePwd(123,"123"));

//Flex客户端调用
private var m:MallMember=new MallMember();//申明全局WebService
var h:HeaderContainer;//申明一个SoapHeader头
public function login():void{ m.addmemberLoginEventListener(loginHandler);
m.memberLogin('allen','aaaaaa');
}
//登陆判断,注意headers[0].content as HeaderContainer,因为他返回的数组,因为可能有多个SoapHeader,而我们就只用到一个而已
public function loginHandler(event:MemberLoginResultEvent):void{
if(event.result!=null){
h=event.headers[0].content as HeaderContainer;
Alert.show("登陆成功");
}
}
//为什么要传的是HeaderContainer0,而在去指定HeaderContainer,可能是因为它代理类的原因,添加WebService引用后自动生成的,
public function update():void{
if(h!=null){
var h0:HeaderContainer0=new HeaderContainer0();
h0.HeaderContainer=h;
m.addmemberChangePwdEventListener(updateHandler);
m.addmemberChangePwd_header(h0);
m.memberChangePwd(1,"mima");
}
}
更新事件
public function updateHandler(event:MemberChangePwdResultEvent):void{
if(event.result!=null){
Alert.show("更新成功"); }
}
//异常处理
public function fault(event:FaultEvent):void{ Alert.show("出现异常!"+event.fault.faultString);
}

现在大问题处理了,就是那个权限即SessionID的问题了,上述咱保存的是用户的编号(只为传递SoapHeader做测试),可知这样是绝对不安全的,如何别人知道你的用户ID了岂不就能直接操作?所以要产生一个想Session一样的唯一会话ID给用户来标识,起到和Session一样的效果,而每次在SoapHeader里面传递的就只是SessionID了,在者每次传递用户名和密码,当回发到服务器端时再去查询数据库去验证,但安全也是个问题,传递过程中用MD5加密?本来就很麻烦了再添麻烦?还有一中解决方案是在数据库里面建一个OnLine在线表,每个在线用户分配一个GUID唯一标识，再定隔一定时间更新即相当于会话超时时间,能起到Session同等的效果,但是感觉性能欠佳,故请大家给点意见,非常感谢！！！

Jonllen Peng 2008-06-03 11:35 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216555BeginorBeginorTue, 03 Jun 2008 01:28:00 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216555
MSDN对这个接口的描述是：Specifies that the target HTTP handler requires read and write access to session-state values. This is a marker interface and has no methods.

我建议是：
1. 让服务端的WebService实现IRequiresSessionState接口，这个接口没有任何方法，相当于只是一个标记。
2. 客户端把认证的Cookie和SessionId都发回到服务端。

这样应该就行了。

Beginor 2008-06-03 09:28 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---WebService安全策略http://www.cnblogs.com/Jonllen/archive/2008/06/03/1211673.html#1216442WGWGMon, 02 Jun 2008 17:50:01 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/03/1211673.html#1216442
If you are using .Net as your application tier. FluorineFX is a good choice.

At least you can call your assembly directly.

Open source and there are lot's of samples in your installed folder.

BTW.
If you use Flex as your font tool. Why do you need 如果我要调用ChangePwd方法前我一定要判断用户是否Login了? After user login, you can just create a varible to remeber the user has login or not. Right?
Usually I use UserId to be the flag.

WG 2008-06-03 01:50 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216411曲滨*銘龘鶽曲滨*銘龘鶽Mon, 02 Jun 2008 16:16:45 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/03/1211989.html#1216411

使用方法和表单验证是一样的；

这种方式用 SoapHeader 有些多余；

asp.net ajax 也可以用webservice 就是表单验证方式
也就是用的 cookie

[WebMethod(EnableSession=true)] 不加好像 cookie 也是好用的；

Flex 不是 flash 吗？这个我不太了解了
flash 应该自动使用浏览器 cookie 的吧？就算不使用也能通过和js通讯实现读写 cookie

有了 cookie 自然就有了 session 了！

接着使用标准的 asp.net 认证方式就可以了；和 page 一样，没认证的就会跳转到登录页，webserver 就是会出错了。

曲滨*銘龘鶽 2008-06-03 00:16 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216318海天一鸥海天一鸥Mon, 02 Jun 2008 13:33:29 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216318一般把用户的登入凭证使用MD5加密后，直接存储在SoapHeader中，如果你在服务器端使用Cache缓存管理，也可以分配临时会话ID（相当于SessionID)，管理你对此客户的服务资源——主要是状态信息。

使用Enterlib的Security，Cache库，很容易实现这个方案。

海天一鸥 2008-06-02 21:33 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216316rosanshaorosanshaoMon, 02 Jun 2008 13:33:19 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216316http://www.cnblogs.com/rosanshao/archive/2007/10/14/923906.html

这儿能解决你的问题

rosanshao 2008-06-02 21:33 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216287化石化石Mon, 02 Jun 2008 13:03:14 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216287其实问题主要在客户端，客户端如果不能保存cookies的话，服务器端怎么改都没用。

化石 2008-06-02 21:03 发表评论

]]>re: 急!急!!急!!!求解如何在WebService中使用Session或Cookie---实现WebService身份验证(客户端是Flex)http://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216164oldmoonoldmoonMon, 02 Jun 2008 09:46:22 GMThttp://www.cnblogs.com/Jonllen/archive/2008/06/02/1211989.html#1216164

oldmoon 2008-06-02 17:46 发表评论

]]>