176 messaggi dal 04 giugno 2007
Contributi | Blog
Hai capito al 100%.

Tutto quello che hai detto e' corretto.

L'unica cosa e' che i certificati sono installati a livello di sistema.
Ci sono diversi store per i certificati. Quello per i cert usati per autenticazione e' lo store per utente, per cui ogni utente di quella macchina avra' il suo.

Saluti

--Alessandro
126 messaggi dal 14 aprile 2006
un altra domanda è possibile limitare l'accesso di un webservice ?

ovvero se io metto online un webservice chiunque conosce l'indirizzo lo può usare
ma io voglio dare la possibilità di usarlo soltanto a chi paga un abbonamento per il suo utilizzo come posso fare per impedere di usarlo a tutti coloro che conoscono l'indirizzo ma solo a chi a pagato?
176 messaggi dal 04 giugno 2007
Contributi | Blog
Ci sono diverse tecniche e anche alcune start-up che vendono questo servizio.

Il problema non e' banale - si tratta di avere un layer di autenticazione e autorizzazione a monte della soddisfazione della chiamata al WS.

Il problema si divide in due parti.

Da una parte devi in qualche modo identificare il chiamante.
Per fare questo puoi per esempio
1) richiedere un'identificazione cookie-based, tipo Windows LiveID
2) richiedere al client di avere un determinato certificato
3) richiedere un'autenticazione interattiva
4) usare un token o application ID protetto con qualche tecnica di anti-spoofing

Fatto questo, devi determinare i permessi sulla base dell'identita' del chiamante.
Per questo dovrai avere qualche forma di profilo dell'utente che contenga tra le altre cose i permessi di accesso, e devi avere una logica di enforcement che estragga i permessi dal profilo e li applichi alla chiamata in corso.

HTH

--Alessandro

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.