- •Федеральное агентство по образованию
- •Таганрогский государственный радиотехнический университет
- •Программирование в Интернет
- •Лекция 1. Введение в Web-программирование
- •Принцип работы Web-приложений
- •Обзор известных средств программирования для Internet
- •Первое решение: cgi
- •Преимущества cgi
- •Недостатки cgi
- •Второе решение: isapi-интерфейс
- •Преимущества isapi
- •Недостатки isapi
- •Третье решение: asp
- •Преимущества asp
- •Недостатки asp
- •Лекция 2. Введение в php
- •Что такое рнр?
- •Архитектура рнр
- •Первая программа на php
- •Взаимодействие html и php
- •Лекция 3. Типы данных php
- •Комментарии
- •Логические переменные
- •Синтаксис логических переменных
- •Приведение значений к логическому типу
- •Целые числа
- •Синтаксис целочисленных переменных
- •Целочисленное переполнение
- •Приведение к целочисленному типу
- •Вещественные числа
- •Константы
- •Преобразование строк
- •Лекция 4. Переменные
- •Изменение типа переменной
- •Преобразование типа переменной
- •Операторы и выражения
- •Оператор присваивания
- •Арифметические операторы
- •Оператор конкатенации
- •Дополнительные операторы присваивания
- •Операторы сравнения
- •Логические операторы
- •Увеличение или уменьшение целой переменной
- •Порядок вычисления операторов
- •Динамические переменные
- •Ссылки на переменные
- •Лекция 5. Инструкция if
- •Блок else инструкции if
- •Блок elseif инструкции if
- •Инструкция switch
- •Оператор ?
- •Цикл while
- •Цикл do... While
- •Цикл for
- •Прерывание циклов инструкцией break
- •Пропуск итераций с помощью инструкции continue
- •Лекция 6. Функции
- •Аргументы функции
- •Аргументы по умолчанию
- •Область видимости переменных
- •Лекция 7. Краткий обзор .Net Framework
- •Промежуточный язык Microsoft Intermediate Language
- •Компиляция “Just In Time”
- •Управляемый код и данные
- •Лекция 8. Создание приложений Web Forms Файлы проекта Web Forms
- •Файлы Web-приложения
- •Обработка событий События жизненного цикла Web-приложения
- •Сохранение данных Web-формы
- •Visual Basic .Net
- •Visual c#
- •События Application и Session
- •Visual Basic .Net
- •Visual c#
- •События Web-формы
- •Visual Basic .Net
- •Visual c#
- •События серверных элементов управления
- •Visual Baste .Net
- •Visual c#
- •Лекция 9. Работа с Web-объектами Введение в пространство имен
- •Пространства имен в Web-приложениях Обзор пространства имен Web
- •Visual Basic .Net
- •Visual c#
- •Использование объекта Application
- •Visual Baste .Net
- •Visual c#
- •Использование объекта Page
- •Visual Basic
- •Visual с#
- •Использование объекта Request
- •Visual Baste .Net
- •Visual c#
- •Использование объекта Response
- •Visual Baste .Net
- •Visual c#
- •Лекция 10. Сохранение сведений о состоянии Способы сохранения сведений о состоянии
- •Использование строк запросов
- •Visual Basic .Net
- •Visual c#
- •Использование переменных состояния Application и Session
- •Упорядочение доступа к переменным состояния
- •Visual Basic .Net
- •Visual c#
- •Visual Basic .Net
- •Visual c#
- •Отключение переменных состояния Session
- •Лекция 11. Web-элементы управления. Использование элементов управления.
- •Простые элементы управления
- •Элементы управления Label
- •Элементы управления HyperLink
- •Элементы управления Image
- •Элементы управления CheckBox
- •Элементы управления RadioButton
- •Элементы управления Table
- •Элементы управления DropDownList
- •Элементы управления ListBox
- •Элементы управления CheckBoxList
- •Элементы управления RadioButtonList
- •Лекция 12. Проверяющие элементы управления
- •Использование проверяющих элементов управления
- •RequiredFieldValidator
- •RangeValidator
- •CompareValidator
- •RegularExpression Validator
- •CustomValidator
- •ValidationSummary
- •Отмена проверки вводимых данных
- •Лекция 13. Введение в Web-сервисы Обзор Web-сервисов xml
- •Инфраструктура Web-сервисов xml
- •Взаимодействие клиентов и Web-сервисов xml
- •Лекция 14. Механизм обнаружения Web-сервисов xml
- •Использование Web-сервисов xml
- •Добавление Web-ссылки
- •Генерация класса прокси
- •Создание объекта класса прокси
- •Доступ к Web-сервису xml через объект прокси
- •Сериализация
- •Лекция 15. Управление Web-методами при помощи атрибутов Атрибуты Web-метода
- •Буферизация откликов Web-метода
- •Visual c#
- •Пользовательские маркеры
- •Подписи
- •Шифрование
- •Лекция 17. Модель безопасности asp.Net
- •Лекция 18. Введение в инфраструктуру Microsoft .Net Remoting
- •Объекты .Net Remoting
- •Передача объектов по механизму .Net Remoting
- •Пример кода для простого серверного объекта .Net Remoting
- •Срок жизни, определяемый арендой
- •Channel Services (System.Runtime.Remoting.Channels)
- •Пример кода, загружающего Channel Services
- •Форматирующие объекты сериализации (System.Runtime.Serialization.Formatters)
Подписи
В инфраструктуре WSE имеется возможность потребовать наличие подписи в SOAP-сообщениях. Метод CheckForSignature проверяет наличие в сообщении подписи (MessageSignature):
public static bool CheckForSignature(SoapContext context)
{
if(context == null)
throw new Exception("Only SOAP requests are permited !");
bool foundSignature = false;
foreach(ISecurityElement se in context.Security.Elements)
if(se is MessageSignature)
foundSignature = true;
return foundSignature;
}
Замечание: Наличие элемента MessageSignature означает, что хотя бы одна из частей сообщения подписана.
Вызов метода осуществляется на стороне Web-сервиса перед проверкой маркера безопасности:
public string GetUserName()
{
SoapContext ctxt = RequestSoapContext.Current;
if(ctxt == null)
return "NULL pointer to Service RequestSoapContext or NON-SOAP request";
if(!CheckForSignature(ctxt))
return "SOAP message signature not found !";
Клиентское приложение перед вызовом метода Web-сервиса добавляет подпись в тело сообщения:
UsernameToken userToken =
new UsernameToken(TextBox1.Text, TextBox2.Text,
PasswordOption.SendHashed );
if(userToken == null)
{
Label2.Text = "userToken failed !";
return;
}
MessageSignature sig = new MessageSignature(userToken);
if(sig == null)
{
Label2.Text = "Signature Failed !";
return; }
Одна из проблем, возникающая при использовании подписей, заключается в снижении стойкости подписи при каждом очередном вызове Web-метода. Повторное создание подписей с одинаковым ключом является достаточно серьезной уязвимостью. Преодоление рассмотренной проблемы возможно добавлением случайных величин в подпись маркера безопасности перед отправкой на сторону Web-сервиса:
....
DerivedKeyToken dk = new DerivedKeyToken(userToken);
MessageSignature sig = new MessageSignature(dk);
...
ctxt.Security.Tokens.Add(userToken);
ctxt.Security.Tokens.Add(dk);
ctxt.Security.Elements.Add(sig);
Шифрование
Еще одной особенностью инфраструктуры WSE является возможность шифрования передаваемых данных. Шифрование препятствует раскрытию конфиденциальных данных и гарантирует неразглашение секретных данных. Метод ChechForEncription проверяет на стороне Web-сервиса наличие в сообщении зашифрованных данных:
public static bool CheckForEncription(SoapContext context)
{
if(context == null)
throw new Exception("Only SOAP requests are permited !");
bool foundEncription = false;
foreach(ISecurityElement se in context.Security.Elements)
if(se is EncryptedData)
foundEncription = true;
return foundEncription;
}
На стороне Web-сервиса перед проверкой маркера безопасности выполняется вызов метода ChechForEncription:
SoapContext ctxt = RequestSoapContext.Current;
if(ctxt == null)
return "NULL pointer to Service RequestSoapContext or NON-SOAP request";
if(!CheckForSignature(ctxt))
return "SOAP message signature not found !";
if(!CheckForEncription(ctxt))
return "Encription data not found !";
Шифрование данных в клиентском приложении может быть реализовано следующим образом:
....
DerivedKeyToken dke = new DerivedKeyToken(userToken);
if(dke == null)
{
Label2.Text = "DerivedKeyToken for encription failed !";
return;
}
EncryptedData enc = new EncryptedData(dke);
if(enc == null)
{
Label2.Text = "Encription failed !";
return;
}
....
ctxt.Security.Tokens.Add(userToken);
ctxt.Security.Tokens.Add(dk);
ctxt.Security.Elements.Add(sig);
ctxt.Security.Tokens.Add(dke);
ctxt.Security.Elements.Add(enc);