0

我们是否必须将用户名/密码与 SOAP 消息一起发送?在这种情况下,我的数据库服务器每次都必须运行查询来进行身份验证。

是否有基于令牌的身份验证方法?如果有人能指出我正确的方向,那将非常有帮助。

4

1 回答 1

0

在我们的环境中,是的。但是我们正在使用执行身份验证的 Cisco 和/或 Layer7 网关,所以当它到达应用程序服务器时,它在内部网络上并且是受信任的。

或者,您可以传递用户 ID/密码和某种令牌字符串。您的服务器会查看令牌并查看它是否通过了“嗅探”测试(太旧?零长度?校验和错误?来自错误的 IP?)如果它嗅探正常,就可以了。如果不正确(通常为空白),则使用用户 ID/密码进行身份验证,生成具有当前时间戳的新令牌,并使用其 IP 地址(或其他内容)生成新令牌。可能会在其中放置一个 GUID 以获得唯一性。如果他们没有任何有效的东西(令牌错误,用户名/密码丢失),则发回一个挑战,以便他们可以重新提交用户名/密码。

于 2010-04-27T14:07:08.653 回答