首页 新闻 会员 周边 捐助

自定义SoapHeader

0
悬赏园豆:50 [已解决问题] 解决于 2009-12-16 12:29
<table class="mtxt" cellspacing="0" cellpadding="0"> <tbody> <tr> <td id="body"> <div class="msgfont">自定义了SoapHeader,进行用户身份验证。如Header中有 UserID = 加密后的用户名 , Pwd = 加密后的密码 <br />因为一般来说 这个 UserID 和 Pwd 是不会变的 <br />别人可以不可以通过什么软件拦截到SoapHeader头信息,并获取到 UserID 和 Pwd 的值? <br />如果能拦截并获取到这个值,那 UserID = 明文 ,Pwd=明文&nbsp; 与 UserID = 加密后的用户名 <br />加密后的 密码 不就是一样的了吗? 只要别人拦截到,分析 Header 中的信息,获取后,直接把获取到的信息传过来, <br />那就不也一样能通过验证的,现在很疑惑?</div> <!-- google_ad_section_end --><!--End_body//--></td> </tr> <tr> <td>&nbsp;</td> </tr> <tr> <td>&nbsp;</td> </tr> </tbody> </table>
jayccx的主页 jayccx | 初学一级 | 园豆:150
提问于:2009-12-15 00:06
< >
分享
最佳答案
0

你说的是两个概念,拦截你的消息是传输安全,你可以用ssl;而加密传输内容是指的消息安全性,出了加密消息,你也可以用令牌。

你可以根据系统实际应用场景来决定是否两者用,或者只选其一

收获园豆:50
persialee | 老鸟四级 |园豆:3217 | 2009-12-15 01:11
使用 SSL 加密后传输,是否别人就不能拦截到你的信息,如果拦截到的话,那使用ssl就与上面说的一样了,疑惑? 越弄越糊涂?
jayccx | 园豆:150 (初学一级) | 2009-12-15 09:34
@jayccx:呵呵,这个属于安全性问题了,推荐你看看 Improving Web Services Security
persialee | 园豆:3217 (老鸟四级) | 2009-12-16 09:04
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册