Webservice sikkerhed og sessions

Jeg smutter lige hjem nu og er først tilbage ved otte tiden. Så det er derfor der ikke lige kommer retur svar med det samme på jeres posts.

man kan godt bruge sessions i forbindelse med web services

paa server skal scope defineres til session

og client skal gemme og sende cookies

paa server kan man med lidt krumpspring faa fat i session

jeg kan proeve at finde et eksempel

Det lyder ikke som om det ligefrem er best practice... vil du sige det er en god måde at gøre det på? eller ville du lave opslaget på brugerid og password hver gang?

Det er set foer.

Men forholdsvis ofte mener jeg at security laves paa IP niveau. Box A og B har lov til
at kalde en service paa box C, men andre har ikke.

problemet er bare det at enhver kunde opretter sig som bruger selv via en wizard og bagefter må de kalde webservicen. De skal så betale per gang de bruger webservicen så vi skal vide hvem brugeren er og de fleste brugere kan have skiftende ip...

OK, så brugerne logger ind i en web app med brugernavn/password, derefter kalder de
en web side som connecter til web servicen med et brugernavn/password (enten det samme
som de brugte til at logge ind i web app eller noget hentet fra en konfiguration
f.eks. database udfra deres web app brugernavn) ?

Lidt specielt, men sikkert set masser af gange før alligevel.

Så er mulighederne nok:
1) maintaine en session mellem web app og web service
2) sende brugernavn og password med hver kald
3) bruge WSS og digital signing

Da det jo er brugerne lige gyldigt og #2 uden tvivl er den nemmeste at
implementere, så virker den jo som et godt valg.

Brugerne opretter sig på vores side. Så downloader de en klient som så skal kunne kontakte vores ws men for at styre det så skal brugeren taste sit brugernavn og password ind i klienten.
Men tak for det vi går videre med brugernavn og password i alle metoderne.

Du må gerne lige ligge et svar så vi kan lukke.

ok