Web Services是由企业发布的完成其特定商务需求的在线应用服务,其他公司或应用软件能够通过Internet来访问并使用这项在线服务。它逻辑性的为 其他应用程序提供数据与服务.各应用程序通过网络协议和规定的一些标准数据格式(Http,XML,Soap)来访问Web Service,通过Web Service内部执行得到所需结果。由于它通过internet进行调用,必然存在网络用户都可以调用的安全问题。如何实现webservice的访问 权限限制,是使用webservice用户使用面临重要的问题,下文就给两种方案,从浅到深解决上面问题。
二、基于“soapheader” 特性的简单方法
1." soapheader" 概述
SOAP 标头提供了一种方法,用于将数据传递到 XML Web services 方法或从 XML Web services 方法传递数据,条件是该数据不直接与 XML Web services 方法的主功能相关。 多数情况下用来传递用户身份验证信息,当然它的作用远不止如此,有待于在实际应用中发掘。
2.soapheader实现用户身份验证代码
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
namespace UserCenter
public class MySoapHeader :SoapHeader
public string UserName
public string PWD
/// <summary>
/// MyMath 的摘要说明
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
[System.ComponentModel.ToolboxItem(false)]
// 若要允许使用 ASP.NET AJAX 从脚本中调用此 Web 服务,请取消对下行的注释。
// [System.Web.Script.Services.ScriptService]
public class MyMath : System.Web.Services.WebService
public MySoapHeader sHeader;
[WebMethod]
public string HelloWorld()
return "Hello World";
[WebMethod]
[SoapHeader("sHeader")]
public string add(int x, int y)
if (sHeader.UserName == "test" && sHeader.PWD == "test")
return (x + y).ToString();
return null;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
namespace XMLClass1.class15.content
[AttributeUsage(AttributeTargets.Method)]
public class MyExtensionAttribute : SoapExtensionAttribute
int _priority = 1;
public override int Priority
get { return _priority; }
set { _priority = value; }
public override Type ExtensionType
get { return typeof(MyExtension); }
public class MyExtension : SoapExtension
//这个override的方法会被调用四次
//分别是SoapMessageStage BeforeSerialize,AfterSerialize,BeforeDeserialize,AfterDeserialize
public override void ProcessMessage(SoapMessage message)
if (message.Stage == SoapMessageStage.AfterDeserialize)//反序列化之后处理
bool check = false;
foreach (SoapHeader header in message.Headers)
if (header is MySoapHeader)
MySoapHeader myHeader = (MySoapHeader)header;
if (myHeader.Name == "admin" || myHeader.PassWord == "admin")
check = true;
break;
if (!check)
throw new SoapHeaderException("认证失败", SoapException.ClientFaultCode);
public override Object GetInitializer(Type type)
return GetType();
public override Object GetInitializer(LogicalMethodInfo info, SoapExtensionAttribute attribute)
return null;
public override void Initialize(Object initializer)
public class MySoapHeader : SoapHeader
string _name;
string _passWord;
public string Name
get { return _name; }
set { _name = value; }
public string PassWord
get { return _passWord; }
set { _passWord = value; }
/// <summary>
/// headersoap2 的摘要说明
/// </summary>
[WebService(Namespace = http://tempuri.org/)]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
[System.ComponentModel.ToolboxItem(false)]
// 若要允许使用 ASP.NET AJAX 从脚本中调用此 Web 服务,请取消对下行的注释。
// [System.Web.Script.Services.ScriptService]
public class headersoap2 : System.Web.Services.WebService
public MySoapHeader header;
[WebMethod]
[MyExtensionAttribute]
[SoapHeader("header", Direction = SoapHeaderDirection.In)]
public string CheckHeader()
//业务逻辑.
return "Something done";
