Webservice toegang beveiligen - Softwareontwikkeling

maandag 28 april 2003 08:54

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Webservices maken welke publiek toegankelijk zijn is een eitje. Ik vraag me echter af wat de "beste" manier is om een webservice voor maar een beperkt aantal mensen toegankelijk te maken.
Een firewall o.i.d. is voor mij geen uitkomst van dit probleem. Bij elk request inloggegevens meesturen ook niet omdat je dezxe gegevens zo min mogelijk over het netwerk wil hebben. Wie weet wel een goede techniek die gehanteerd kan worden? Momenteel heb ik C#.NET WS op het oog welke o.a. door Delphi6 applicaties geconsumeerd moeten kunnen worden.

maandag 28 april 2003 09:12

Acties:

0 Henk 'm!

LordLarry

Aut disce aut discede

De eerste keer inloggen met naam+wachtwoord (eventueel IP controle) en daarmee een SessionID halen. Deze SessionID voortaan gebruiken voor de overige calls. De SessionID bij elke call controleren op geldigheid (duur + ip).

We adore chaos because we like to restore order - M.C. Escher

maandag 28 april 2003 09:27

Acties:

0 Henk 'm!

Jaap-Jan

En vergeet vooral niet om https te gebruiken in plaats van gewoon http, anders worden de wachtwoorden in platte tekst weggestuurd.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

maandag 28 april 2003 15:17

Acties:

0 Henk 'm!

mbravenboer

Het is zonde om HTTP te gaan misbruiken met sessions voor alleen maar authenticatie. Daarvoor is er juist HTTP authenticatie

.

Overigens gaan we er dus wel 'zomaar' vanuit dat er HTTP toegepast wordt ...

Blog, Stratego/XT: Program Transformation, SDF: Syntax Definition, Nix: Software Deployment

maandag 28 april 2003 15:27

Acties:

0 Henk 'm!

LordLarry

Aut disce aut discede

Naast dat, zoals al aangeeft, met jouw methode alleen HTTP werkt is er op mijn manier nog een extra voordeel. Je kan via dat SessionID ook zorgen dat de objecten state kunnen bewaren tussen verschillende aanroepen.

We adore chaos because we like to restore order - M.C. Escher

maandag 28 april 2003 15:55

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hmmmmm, HTTP authenticatie. Verklaar je nader....... Hoe moet ik dit zien. Ik heb een aantalwebservices en deze benader ik vanuit Delphi, hoe moet ik dan inloggen bijvoorbeeld?

maandag 28 april 2003 16:15

Acties:

0 Henk 'm!

mbravenboer

LordLarry: extra voordeel. Je kan via dat SessionID ook zorgen dat de objecten state kunnen bewaren tussen verschillende aanroepen.

Roy Fielding over REST: each request from client to server must contain all of the information necessary to understand the request, and cannot take advantage of any stored context on the server. Session state is therefore kept entirely on the client.

Roy Fielding over cookies en sessions: Cookies that simply store a reference to server-maintained state do violate REST's constraint on state being stored on the client, rather than the server, for scalability. The effect of violating that constraint can be seen on any site that uses client-sessions on the back-end, such as is common in J2SE. Such sites are usually several orders of magnitude less scalable than REST-based applications, but some folks still prefer it for "personalization". My experience has been that this is the number one cause of failed website applications: reliance on server-side sessions.

Probleem is overigens dat niet iedereen hier helemaal duidelijk is

. Elliotte Rusty Harold van Cafe con Leche vindt state bijvoorbeeld een onderdeel van de resource (server) (15 Feb 2003)

State is a property of the resource, not the client. All necessary state is stored in the resource itself, never on the client.

Het hangt er vanaf wat je onder state verstaat: waarschijnlijk zijn beide quotes het eens, maar doelen ze op andere typen van state.

Dit gezeur over REST van mijn kant is trouwens wel een beetje kansloos hier op GoT

edit:
oeps, vrij serieuze tikfout

[ Voor 5% gewijzigd door mbravenboer op 28-04-2003 16:26 ]

Blog, Stratego/XT: Program Transformation, SDF: Syntax Definition, Nix: Software Deployment

maandag 28 april 2003 16:19

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Hier is toch genoeg info over te vinden? Heb je wel gezocht? Kijk eens op www.devshed.com voor talloze voorbeelden.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 28 april 2003 16:20

Acties:

0 Henk 'm!

tomato

mbravenboer schreef op 28 April 2003 @ 16:15:
Dit gezeur over REST van mijn kant is trouwens wel een beetje kansloos hier op GoT .

Lol

Maar toen ik dit las dacht ik al dat je er op in zou gaan:

LordLarry schreef op 28 april 2003 @ 15:27:
Je kan via dat SessionID ook zorgen dat de objecten state kunnen bewaren tussen verschillende aanroepen.

Verwijderd schreef op 28 april 2003 @ 15:55:
Hmmmmm, HTTP authenticatie. Verklaar je nader....... Hoe moet ik dit zien. Ik heb een aantalwebservices en deze benader ik vanuit Delphi, hoe moet ik dan inloggen bijvoorbeeld?

Hier heb je gelijk op de eerste pagina al een flink aantal nuttige hits:
Google search for "http authentication"

maandag 28 april 2003 16:22

Acties:

0 Henk 'm!

mbravenboer

tommie36: Hmmmmm, HTTP authenticatie. Verklaar je nader....... Hoe moet ik dit zien.

Daar is een heleboel over te vinden op het web ... Zoek maar eens op "HTTP Authentication"

Ter intro en specificatie:
http://www.ietf.org/rfc/rfc2617.txt
http://www.webgoeroe.net/item/591

Blog, Stratego/XT: Program Transformation, SDF: Syntax Definition, Nix: Software Deployment

maandag 28 april 2003 16:25

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Het gaat me niet zo zeer om het bewaren van state o.i.d. Het gaat er om hoe ik ik het beste om kan gaan met webservices welke NIET publiek toegankelijk mogen zijn. Behalve dat van die sessies heb ik daar nog geen concrete ideeen voor gezien en heb ik ook niets kunnen vinden.

maandag 28 april 2003 16:35

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ondanks dat google mooie getallen aangeeft op jullie trefworden wil dit niet zeggen dat daar ook de informatie tussen zit die in mijn context te plaatsen is.............

maandag 28 april 2003 16:43

Acties:

0 Henk 'm!

tomato

Verwijderd schreef op 28 april 2003 @ 16:35:
Ondanks dat google mooie getallen aangeeft op jullie trefworden wil dit niet zeggen dat daar ook de informatie tussen zit die in mijn context te plaatsen is.............

mbravenboer geeft je 2 directe links (een RFC en een Nederlandse toegankelijke introductie) en ik zei erbij dat direct op de eerste pagina al nuttige resultaten stonden.

Dus ik weet niet precies welke Google jij gebruikt, maar voor deze zekerheid kun je gewoon de link gebruiken die ik gaf, dan zit je wat betreft zoekactie altijd goed.

Probeer eerst eens te lezen en begrijpen wat HTTP authenticatie is, dan kun je het daarna zelf wel in de goede context plaatsen voor jouw probleem vermoed ik

maandag 28 april 2003 16:47

Acties:

0 Henk 'm!

mbravenboer

Ik zou me iets meer inspannen, anders kan je verdere replies wel vergeten. Het artikel op Webgoeroe is een hele simpele introductie. De RFC kan je alle details geven.

Hier is een hele simpele tip voor Java (gevonden met "http authentication java" ) :
http://www.javaworld.com/...avatips/jw-javatip46.html

Je mag zelf een Delphi voorbeeld zoeken

Blog, Stratego/XT: Program Transformation, SDF: Syntax Definition, Nix: Software Deployment

maandag 28 april 2003 16:50

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

"Dus ik weet niet precies welke Google jij gebruikt, maar voor deze zekerheid kun je gewoon de link gebruiken die ik gaf, dan zit je wat betreft zoekactie altijd goed."

Als het zo makkelijk is, wijs dan in één google-resultaat aan welke ingaat op mijn vraag:
"Ik heb een aantalwebservices en deze benader ik vanuit Delphi, hoe moet ik dan inloggen bijvoorbeeld?"

maandag 28 april 2003 16:54

Acties:

0 Henk 'm!

mbravenboer

Jammer dat een op zich interessant topic hier op uit moet lopen.

Blog, Stratego/XT: Program Transformation, SDF: Syntax Definition, Nix: Software Deployment

maandag 28 april 2003 17:18

Acties:

0 Henk 'm!

dusty

Celebrate Life!

Ja.

Lijkt me duidelijk waarom het topic dichtgaat. (zoniet, lees FAQ)

Back In Black!
"Je moet haar alleen aan de ketting leggen" - MueR

maandag 28 april 2003 17:21

Acties:

0 Henk 'm!

ACM

Software Architect

Werkt hier

Browsers zijn toch ook geprogrammeerd?
Sommige zelfs in Delphi... Dus dat moet jij ook kunnen.

En blijf nou niet zo zinloos zitten vissen naar exacte antwoorden, die zijn in dit geval niet te geven en worden zelfs als ze dat wel zijn vrijwel nooit gegeven.

HTTP Authentication is een heel simpel toegankelijk, als je moeite doet de specs te lezen of enige andere uitleg erover...

En toen deed dusty de deur dicht

[ Voor 5% gewijzigd door ACM op 28-04-2003 17:22 ]

Pagina: 1

Dit topic is gesloten.