Autenticar un servicio web

wakewakeup · #1 (**permalink**) 28/06/2005, 05:19

Cual es la mejor forma de controlar los usuarios que entran a un servicio web? Los clientes serían tanto aspnet como windows forms.
La idea es tener una base de datos con usuarios y claves y controlarlo yo mismo, al estilo de forms autentication. Pero no se si pasar los usuarios como parametro, o algo que he leido de meterlos en cabecera soap...
que me recomendais?
graciass

Jose_minglein2 · #2 (**permalink**) 28/06/2005, 05:48

Yo lo que hago, es requerir en las funciones del webservice usuario y contraseña, para poder utilizarlos y los valido contra una BD al igual que en webforms, luego agrego medidas de seguridad como certificados cliente... para evitar ataques por fuerza bruta, así como encriptación, obligatoriedad de SSL, etc....

jmujica · #3 (**permalink**) 28/06/2005, 08:08

Coincido con Jose minglein2. Otra cosa que he leido y tiene que ver con lo que mencionas son los WSE, pero nunca los llegué a implementar.

PD: no estabas con este mismo tema de los certificados de cliente? Si es así, pudiste resolver algo?

wakewakeup · #4 (**permalink**) 28/06/2005, 08:49

Que os referis, a que cada webmethod tenga un parametro usuario y uno contraseña?
Eso se hace mucho? pensaba que habria algo mas adecuado.

Lo de los certificados ya lo habia pensado con tener certificados de cliente y una base de datos con los mails que tienen acceso sacando el mail del certificado ya estaría (no lo he hecho pero supongo que si), pero pensaba que habría algo mas sencillo para no liarme con certificados.

Sobre el WSE he leido algo en ingles, pero en castellano hay poca documentacion, complicada y no termino de verlo claro, es un estandar eso?

PD: Si era yo el del otro tema, ya me ayudaron en ese tema y lo resolví en el tema lo puedes leer todo ;)

Jose_minglein2 · #5 (**permalink**) 28/06/2005, 09:34

Yo sí lo hago así, ya te digo que no se si hay alguna solución mejor, pero para mí esa es válida, (para lo que yo de momento en necesitado WS), si tu necesitas alguna cosa especifica quizá te interesa implementar otra solucion

wakewakeup · #6 (**permalink**) 29/06/2005, 01:56

Y que pensais sobre pasar el usuario y clave por los encabezados soap? He leido sobre ello aqui. Parece mas elegante no?

http://msdn2.microsoft.com/library/9z52by6a(en-us,vs.80).aspx

Jose_minglein2 · #7 (**permalink**) 29/06/2005, 02:03

No se ve mal, puedes probarlo y contarnos que tal.

wakewakeup · #8 (**permalink**) 29/06/2005, 03:25

Si, creo que hare una prueba hoy o mañana y os digo ;)

wakewakeup · #9 (**permalink**) 29/06/2005, 07:26

Pues ya he hecho la prueba y es bastante facil. Queda un poco mas limpio al no tener que pasar el usuario y pas como parametro en cada llamada a un webmethod.
Y si se tienen que hacer varias llamadas solo tienes que pasar el usuario y contraseña una vez y no en cada llamada con lo que haces el codigo un poco mas limpio.
Lo demas es casi como pasarlo por parametro, entiendo que tanto esta manera como la de pasar usuario y pass con parametros es conveniente usarlo por SSL para que un fisgon no pille los datos no?

Jose_minglein2 · #10 (**permalink**) 29/06/2005, 08:47

ok, cuando tenga un tiempo quizá lo cambie.

Claro, SSL siempre.