前言

嘿，大家好！

你使用過(guò) WebService 嗎？

WebService 就像是一座連接不同系統(tǒng)的小橋，通過(guò) SOAP 或 REST 技術(shù)讓數(shù)據(jù)在這座橋上自由穿梭。無(wú)論是分享天氣預(yù)報(bào)，還是交換訂單信息，WebService 都是實(shí)現(xiàn)這些數(shù)據(jù)交互的幕后英雄。

就像任何橋梁都需要護(hù)欄來(lái)保證行人安全一樣，WebService 也需要一些保護(hù)措施來(lái)確保數(shù)據(jù)的安全傳輸。

而身份驗(yàn)證就是這座橋上的“護(hù)欄”，它能防止未經(jīng)授權(quán)的訪問(wèn)，確保只有合法用戶才能通過(guò)。

無(wú)論是簡(jiǎn)單的用戶名密碼驗(yàn)證，還是更復(fù)雜的 JWT 驗(yàn)證，C# 都提供了靈活的方式來(lái)實(shí)現(xiàn)。

接下來(lái)，我們就來(lái)看看如何在 C# 中實(shí)現(xiàn)它們。

準(zhǔn)備好了嗎？

1. SOAP 協(xié)議自定義驗(yàn)證

SOAP 協(xié)議允許在消息頭部（Header）中添加自定義信息，所以我們可以利用這一點(diǎn)來(lái)實(shí)現(xiàn)身份驗(yàn)證。

實(shí)現(xiàn)步驟：

在客戶端，將用戶名和密碼添加到 SOAP 頭部

var client = new MyWebService();
client.Headers.Add("Username", "admin");
client.Headers.Add("Password", "password");

string result = client.SecureMethod();
Console.WriteLine(result); // 輸出：驗(yàn)證成功！敏感數(shù)據(jù)：12345

在服務(wù)端，解析 SOAP 頭部并驗(yàn)證憑據(jù)

[WebService(Namespace = "http://tempuri.org/")]
publicclassMyWebService : WebService
{
    [WebMethod]
    public string SecureMethod()
    {
        // 獲取 SOAP 頭部
        var headers = Context.Request.Headers;

        // 檢查頭部是否包含憑據(jù)
        if (headers["Username"] == "admin" && headers["Password"] == "password")
        {
            return"驗(yàn)證成功！敏感數(shù)據(jù)：12345";
        }
        else
        {
            thrownew SoapException("身份驗(yàn)證失敗", SoapException.ClientFaultCode);
        }
    }
}

優(yōu)點(diǎn)：

簡(jiǎn)單，容易實(shí)現(xiàn)
適用于 SOAP 協(xié)議

缺點(diǎn)：

安全性較低，憑據(jù)以明文傳輸，容易泄露
需要手動(dòng)處理頭部信息

2. HTTP Basic 認(rèn)證

HTTP Basic 認(rèn)證是一種簡(jiǎn)單的身份驗(yàn)證方式，客戶端將用戶名和密碼以 Base64 編碼的形式發(fā)送到服務(wù)端。

實(shí)現(xiàn)步驟：

客戶端將用戶名和密碼編碼后添加到 HTTP 請(qǐng)求頭

var client = new HttpClient();
var credentials = Convert.ToBase64String(Encoding.UTF8.GetBytes("admin:password"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", credentials);

var response = await client.GetAsync("http://localhost:50448/MyWebService.asmx/SecureMethod");
var result = await response.Content.ReadAsStringAsync();
Console.WriteLine(result); // 輸出：驗(yàn)證成功！這是敏感數(shù)據(jù)ABCDE

服務(wù)端解碼并驗(yàn)證憑據(jù)

[WebService(Namespace = "http://tempuri.org/")]
publicclassMyWebService : WebService
{
    [WebMethod]
    public string SecureMethod()
    {
        var authHeader = Context.Request.Headers["Authorization"];

        if (authHeader != null && authHeader.StartsWith("Basic"))
        {
            var encodedCredentials = authHeader.Substring("Basic ".Length).Trim();
            var credentials = Encoding.UTF8.GetString(Convert.FromBase64String(encodedCredentials));
            var parts = credentials.Split(':');
            var username = parts[0];
            var password = parts[1];

            if (username == "admin" && password == "password")
            {
                return"驗(yàn)證成功！這是敏感數(shù)據(jù)ABCDE";
            }
        }

        Context.Response.StatusCode = 401; // 未授權(quán)
        Context.Response.AddHeader("WWW-Authenticate", "Basic realm=\"MyWebService\"");
        return"身份驗(yàn)證失敗";
    }
}

優(yōu)點(diǎn)：

與第一種方法一樣，實(shí)現(xiàn)起來(lái)也比較簡(jiǎn)單
適用于 RESTful 服務(wù)。

缺點(diǎn)：

安全性比第一種方法相比較好，但實(shí)際上 Base64 編碼容易被解碼，所以安全性也是比較低，最好使用 HTTPS 來(lái)保護(hù)傳輸安全

集成 JWT

C# WebService 沒(méi)有內(nèi)置 JWT 支持，但對(duì)于更復(fù)雜的場(chǎng)景，可以通過(guò)集成第三方包來(lái)使用 JWT 實(shí)現(xiàn)身份驗(yàn)證

實(shí)現(xiàn)步驟：

客戶端通過(guò)登錄接口獲取 JWT 令牌。

代碼略，可參考以前文章《ASP.NET Core 標(biāo)識(shí)（Identity）框架系列（二）：使用標(biāo)識(shí)（Identity）框架生成 JWT Token》的實(shí)現(xiàn)方法

客戶端將 JWT 令牌添加到請(qǐng)求頭

var client = new HttpClient();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", "your_jwt_token");

var response = await client.GetAsync("http://yourserver/MyWebService.asmx/SecureMethod");
var result = await response.Content.ReadAsStringAsync();
Console.WriteLine(result); // 輸出：驗(yàn)證成功！敏感數(shù)據(jù)：12345

服務(wù)端驗(yàn)證 JWT 令牌的有效性

[WebService(Namespace = "http://tempuri.org/")]
publicclassMyWebService : WebService
{
    [WebMethod]
    public string SecureMethod()
    {
        var authHeader = Context.Request.Headers["Authorization"];

        if (authHeader != null && authHeader.StartsWith("Bearer"))
        {
            var token = authHeader.Substring("Bearer ".Length).Trim();
            var handler = new JwtSecurityTokenHandler();
            var validationParameters = new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")),
                ValidateIssuer = false,
                ValidateAudience = false
            };

            try
            {
                var principal = handler.ValidateToken(token, validationParameters, out _);
                return"驗(yàn)證成功！敏感數(shù)據(jù)：12345";
            }
            catch
            {
                thrownew SoapException("身份驗(yàn)證失敗", SoapException.ClientFaultCode);
            }
        }

        thrownew SoapException("未提供令牌", SoapException.ClientFaultCode);
    }
}