Sikring af webservice

Hvis du ikke kan nøjes med en simpel logon model, hvor user og password går med i webservicerequest'et som parametre, kan du finde Microsofts bud på det her
WS-Security: Microsoft's strategy for addressing security within a Web service

http://msdn.microsoft.com/webservices/understanding/specs/default.aspx?pull=/library/en-us/dnglobspec/html/wssecurspecindex.asp

du tænker på at jeg selv kunne checke om der bliver overført korrekt logon oplysnnger ?

Ja det er jo altid den banale løsning, som jo ikke er sikker på nogen måde, men kan anvendes i løsninger hvor sikkerhedskravet ikke er særligt højt. Kan gå med programinformationer, køreplaner o.lign, men hvis det f.eks er forespørgsler på adoptivforældre, sygejournaler ell.ign,. duer det jo ikke, Så skal der noget med certifikater, kryptering o.lign i gang, og så er man ude i noget meget mere kompliceret, og det er det WS-security prøver at adressere.

En lidt mere simpel måde (uden brug af WSE) kan du finde på http://www.dotnetforum.dk/forum/ShowPost.aspx?PostID=406

Hvis man nærlæser det WSS link så står der faktisk at det ikke er Microsofts bud, men
Microsoft+IBM+Verisigns bud som nu bliver standardiseret via OASIS (og dermed
også får støtte af BEA, SUN, Oracle, SAP, HP etc.).

Og sikkerheden er ikke nødvendigvis større ved WSS end ved andre løsninger
som f.eks. HTTPS og almindeligt brugernavn/password.

Det der adskiller WSS fra andre løsninger er:
  - det er application-application security ikke transport layer security
  - encryption og signing er integreret i samme framework

Og det er godt.

Men ikke per definition mere sikkert end alternativer.