De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

Autenticación básicaGracias a la autenticación básica, las credenciales del llamador original estándisponibles para la aplicación Web en formato de variables de servidor. El siguientefragmento de código muestra cómo recuperarlas y configurar el proxy de servicioWeb.// Retrieve client's credentials (available with Basic authentication)string pwd = Request.ServerVariables["AUTH_PASSWORD"];string uid = Request.ServerVariables["AUTH_USER"];// Associate the credentials with the Web service proxy// To improve performance, force preauthenticationproxy.PreAuthenticate = true;// Set the credentialsCredentialCache cache = new CredentialCache();cache.Add( new Uri(proxy.Url),"Basic",new NetworkCredential(uid, pwd, domain) );proxy.Credentials = cache;Autenticación mediante FormulariosLa autenticación mediante Formularios permite que las credenciales del llamadororiginal están disponibles para la aplicación Web en formato de campos deformulario (en vez de en formato de variables de servidor). En estos casos, utilice elsiguiente fragmento de código.// Retrieve client's credentials from the logon formstring pwd = txtPassword.Text;string uid = txtUid.Text;// Associate the credentials with the Web service proxy// To improve performance, force preauthenticationproxy.PreAuthenticate = true;// Set the credentialsCredentialCache cache = new CredentialCache();cache.Add( new Uri(proxy.Url),"Basic",new NetworkCredential(uid, pwd, domain) );proxy.Credentials = cache;Las tablas que figuran a continuación muestran los pasos de configuración quedeben llevarse a cabo en el servidor Web, así como en el servidor de aplicaciones.Configurar el servidor WebConfigurar IISPasoPara utilizar laautenticación básica,deshabilitar el accesoanónimo para el directorioraíz virtual de la aplicaciónWeb y seleccionar laautenticación básicaMás informaciónTanto la autenticación básica como la autenticaciónmediante Formularios deberían utilizarse junto con SSLpara proteger las credenciales en formato de texto sincifrar que se envían a través de la red. Si utiliza laautenticación básica, debería utilizar SSL para todas laspáginas (no sólo para la página de inicio de sesión inicial),puesto que las credenciales básicas se transmiten contodas y cada una de las solicitudes.
- O bien -Para utilizar laautenticación medianteFormularios, habilitar elacceso anónimoConfigurar ASP.NETPasoSi se utiliza la autenticaciónbásica, configurar laaplicación Web deASP.NET para utilizar laautenticación de Windows- O bien -Del mismo modo, debería utilizar SSL para todas laspáginas si utiliza la autenticación mediante Formularios afin de proteger las credenciales de texto sin cifrar duranteel inicio de sesión y de proteger también el vale deautenticación que se transfiere en solicitudes posteriores.Más informaciónModifique el archivo Web.config del directorio virtual de laaplicación Web.Establezca el elemento como se indicaa continuación:Si se utiliza la autenticaciónmediante Formularios,configurar la aplicaciónWeb de ASP.NET parautilizar la autenticaciónmediante Formularios- O bien -Modifique el archivo Web.config del directorio virtual de laaplicación Web.Establezca el elemento como se indicaa continuación:Deshabilitar la suplantaciónde la aplicación Web deASP.NETModifique el archivo Web.config del directorio virtual de laaplicación Web.Establezca el elemento como se indica acontinuación:Configurar el proxy de servicio WebPasoMás informaciónEscribir código paracapturar y establecerexplícitamente lascredenciales del proxy deservicio WebNota: este código equivale a suprimir el elemento.No se requiere la suplantación, dado que las credencialesdel usuario se transferirán de forma expresa al servicioWeb a través del proxy.Consulte los fragmentos de código incluidos en lassecciones de autenticación básica y medianteFormularios.Configurar el servidor de aplicacionesConfigurar IIS
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5 and 6: Arquitectura de seguridad paraplata
Page 7 and 8: Estrategias de autenticación y aut
Page 9 and 10: Más informaciónSi desea obtener m
Page 11 and 12: amenaza en caso de que un intruso p
Page 13 and 14: habilitados estos protocolos en los
Page 15 and 16: En este ejemplo, el tipo de autenti
Page 17 and 18: Utilice el código presentado a con
Page 19: Deshabilitar el accesoanónimo para
Page 23 and 24: lleguen al servicio Web. En el serv
Page 25 and 26: Obtener acceso a recursos del siste
Page 27 and 28: {Insert figure: CH10 - Web Service
Page 29 and 30: Una aplicación Web que se ejecuta

De la seguridad en Servicios Web para .Net - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?