好的,我们有一个目前在.NET 3.5中运行的传统ASMX Web服务,我们正在使用Visual Studio 2008 .
问题是,我们需要添加身份验证,并希望利用WS-Security模型,而不会破坏任何不需要当前身份验证的现有内部客户端 .
我们已经考虑过添加自定义标头,但这不是WS-Security-ish . 升级到WCF虽然是长期目标,但短期内不可行 .
有没有办法间接访问VS2008 ASMX Web服务的soap标头中的UsernameToken(假设它是由客户端传递的)?
1 回答
你可以试试Web Services Enhancements (WSE) 3.0 . 这增加了对旧版WS-Security的支持(我认为2004版本--WCF支持2005和2007版本) . 它位于ASMX的顶部而不会打扰它,并且仍然可以在.NET 3.5 / WS2008中运行 .
现在的缺点是:
VS2008不支持在客户端代码中添加或更新启用WSE的Web引用 . 它将很乐意创建正常的ASMX代理类,但不会创建身份验证所需的额外WSE代理类 . 您拥有的任何现有WSE代理代码都可以编译正常,但如果您尝试在IDE中更新Web引用,则会将其删除 . 如果您拥有VS2005的副本,则可以使用它来维护或至少在客户端创建Web引用 .
AFAIK,WS-Security的WSE实现与WCF实现不是100%向前兼容 . 您需要对自己的WCF进行一些兼容性测试以确保 .
Example
在客户端上指定凭据:
验证服务器上的凭据:
读取服务器上的凭据: