Hallo,

ich brauche mal dringend eure Hilfe. Ich muss einen Webservice
absichern und beim Client eine Anmeldung beim Kontakt zum Service mit
übertragen. Ich habe dazu schon etwas wie Credential gefunden. So wie
das aussieht, funktioniert das aber nur mit Active Directory. Darauf
habe ich keinen Zugriff. Ich nutze eine ganz normale
Formauthentifizierung für den Webauftritt, auf welchem auch die
Webservices liegen.

Könnt ihr mir hier bitte weiterhelfen? Wie kann ich eine sichere
Verbindung zwischen Client und WS aufbauen mit einfachen Mitteln? Mein
Problem ist - es muß morgen schon laufen.

Danke

Martina

Hallo Martina,

"martina gerling" schrieb:

> ich brauche mal dringend eure Hilfe. Ich muss einen Webservice
> absichern und beim Client eine Anmeldung beim Kontakt zum Service mit
> übertragen.

Und wie muss die Anmeldung aussehen?

> Ich nutze eine ganz normale Formauthentifizierung für den Webauftritt,
> auf welchem auch die Webservices liegen.

Dann müsstest Du wohl eher das Sessioncookie (oder das "normale" Cookie)
mitsenden.

> Könnt ihr mir hier bitte weiterhelfen? Wie kann ich eine sichere
> Verbindung zwischen Client und WS aufbauen mit einfachen Mitteln?

Normalerweise authentifiziert man sich an Webservices nicht über ein
Webformulare, da das eine mit dem anderen erstmal wenig zu tun hat und
der Client u.U. gar nicht so einfach in der Lage ist, das so zu machen,
wie man es in der Webform braucht.

Ein paar Details wären daher hilfreich. Wie genau überprüfst Du, ob ein
Benutzer/Request authentifiziert ist oder nicht?

--
Tschau, Stefan
Microsoft MVP - Visual Developer ASP/ASP.NET
http://www.asp-solutions.de/ - Consulting, Development
http://www.aspnetzone.de/ - ASP.NET Zone, die ASP.NET Community

Hallo Stefan,

mein Problem ist, ich habe keine Ahnung wie ich das machen kann. Es
soll nur gewährleistet sein, dass nur ein Zugriff aus unseren eigenden
Anwendungen auf dem Webservice möglich ist. D. h., die Programme, die
wir schreiben, sollen nur Zugriff haben. Das soll gewährleistet
werden. Wie das realisiert wird, liegt ganz bei mir. Ich hatte schon
überlegt, einen Hashcode lokal zu speichern, welcher dann auf dem
Webserver verglichen wird. Dies scheint aber doch sehr unsicher, da
man den Code einfach in eine andere Fremdanwendung integrieren kann.
Oder vielleicht geht es doch?

Habt Ihr vielleicht bessere Ideen dazu?

Gruss

Martina

Hallo Martina,

"martina gerling" schrieb:

> mein Problem ist, ich habe keine Ahnung wie ich das machen kann. Es
> soll nur gewährleistet sein, dass nur ein Zugriff aus unseren eigenden
> Anwendungen auf dem Webservice möglich ist.

Wie wäre es bspw. mit einem Login? D.h. in eurer Anwendung gibt es dann
eine Loginmaske (oder hinterlegte Logindaten, die kann man aber auch
auslesen) und diese werden dann verschlüsselt an euren Webservice über-
geben. Ggfs. auch nur für die Registrierung, der Webservice prüft dann,
ob die Daten passen, generiert einen Schlüssel und fortan wird der dann
an den Werbservice übermittelt. So hat man auch eine Übersicht, wer wann
was aufruft.

Grundsätzlich besteht die Problematik "Ablegen von <Irgendwas> in eurer
lokalen Anwendung" dabei immer darin, dass man die Daten in irgendeiner
Form auslesen kann.

> Dies scheint aber doch sehr unsicher, da
> man den Code einfach in eine andere Fremdanwendung integrieren kann.

Dazu müsste er den Code ja zuerst mal wissen. Rest siehe oben.

--
Tschau, Stefan
Microsoft MVP - Visual Developer ASP/ASP.NET
http://www.asp-solutions.de/ - Consulting, Development
http://www.aspnetzone.de/ - ASP.NET Zone, die ASP.NET Community

Hallo Martina,

> Es soll nur gewährleistet sein, dass nur ein Zugriff aus unseren eigenden
> Anwendungen auf dem Webservice möglich ist. D. h., die Programme, die
> wir schreiben, sollen nur Zugriff haben.

Dann könnten Eure Pogramme (ohne Login) eigene Credentials
oder Zertifikate bekommen. Jeweils würde ich die Standard-
Verfahren dazu benutzen:

[Sichern von mit ASP.NET erstellten XML-Webdiensten]
http://msdn.microsoft.com/de-de/library/w67h0dw7.aspx


> Dies scheint aber doch sehr unsicher, da man den Code
> einfach in eine andere Fremdanwendung integrieren kann.
> Oder vielleicht geht es doch?

Also den Code solltest Du bei Sicherheits - kritischen Programmen
nicht öffentlich zugänglich machen. Nimm dazu ggf. Tools wie:

[.NET Code Protection, Encryption, Obfuscation and Licensing - Eziriz]
http://www.eziriz.com/


ciao Frank
--
Dipl.Inf. Frank Dzaebel [MCP/MVP C#]
http://Dzaebel.NET

Danke für die Hinweise. Ich habe gerade ein neues Projekt angelegt um
die Authentifizierung mit SOAP-Headern zu probieren, dabei habe ich
festgestellt, dass im VS2008 unter net 3.5 keine Möglichkeit eines
Webdienstverweises mehr ist. Ich habe mit der rechten Maustaste in das
Projekt mit dem Windows Form im Explorer geklickt - kein Menüpunkt
"Webverweis hinzufügen". Ich bekomme langsam panik.

Martina