WebServices usando soapHeader

ASP.NET

Saturday, January 1, 2011

WebServices usando soapHeader

Um pouco mais de segurança na autenticação do usuário

Neste artigo, gostaria de mostrar como criar um webservices seguro, ou seja, utilizando token, usuário, senha e soapHeader. Assim fica melhor do que colocar como parâmetro de entrada usuário e senha. Fica um pouco mais escondido do que o normal, porém não é tão seguro assim caso os mesmos não estiverem criptografados, utilizando SSL e outras coisas mais.

É lógico que ajuda colocar os dados no soapHeader, fica melhor do que vindo como parâmetro de entrada de um método porque não fica à vista. É importante dizer que não é só isso que faz um webservices ficar seguro.

Requisitos:

Ferramenta: Visual Studio.NET 2008 Team System

Framework: Versão 3.5

Tecnologia: WebService / SOA

Partes que não vou mostrar no artigo.

A camada responsável pelo acesso ao banco de dados. Lembrando que, a melhor forma de utilizar o acesso a dados é usando MVC com interface e tudo de direito. Não fiz como MVC ainda, preciso primeiro mostrar a criação simples e depois complicar mais um pouco com camadas.

WebServices, para que serve?

Com o surgimento do software, sistemas e sites; começou a ter a necessidade de vincular dados entre eles; ou seja; comunicação entre sistemas de plataformas diferentes. Os dados precisam ser passados de um lado para outro de forma dinâmica e personalizada. Antigamente, os dados eram colocados em um arquivo .txt e mandados via e-mail, mandados via upload e outros.

Existia um problema nesse envio de arquivo, isso porque não tinha um padrão entre os desenvolvedores ou sistemas que criavam esses arquivos. Era problemático a leitura desses arquivos porque a coisa era posicional, ou seja, tinha que contar posição a posição para pegar os dados. Qualquer mudança da posição de dado era prejudicado todo o sistema de leitura e gravação.

Respondendo a pergunta, o webservices serve para facilitar a comunicação entre sistemas de forma mais simples e padronizada.

Qualquer linguagem pode usar?

Qualquer linguagem que utiliza ou tem suporte de leitura de xml ou qualquer outra coisa com xml poder utilizar ou “consumir” um webservices. Linguagem orientada a objetos, estruturada, tudo acessa e tem capacidade de criar e consumir um serviço na web.

Qual a forma incorreta de usar WebServices?

No meu ponto de vista, um serviço web é tão quão importante como um sistema cliente / servidor ou web. Muitas empresas deixam de considerar esse tipo de coisa e trata como uma coisa qualquer, não pode ser assim.

Utilizar o serviço web com endereço http normalmente é um erro; deve ser feito utilizando https. Não usar criptografia nos dados importantes como: usuário, senha, token e outros é uma forma incorreta de utilizar serviço web.

Colocar parâmetro de entrada como “senha” é uma forma incorreta de utilizar o serviço web. A melhor forma é usar no soapHeader por ficar mais escondido.

Retornar tipo de dado que apenas uma linguagem utiliza, por exemplo: object “DataSet”. Um objeto criado pela Microsoft e usado apenas pela mesma. Caso uma outra linguagem ou plataforma for consumir o serviço, o seu retorno será ilegível. Exemplo: Java J2EE, Payton, C++, C e outros.

Desenvolvimento do aplicativo

Depois de ter explicado um pouco sobre o que é, como funciona, como utilizar e não fazer, passo para a etapa de criar um serviço web e consumí-lo de forma mais simples e fácil. Utilizei o mesmo exemplo do artigo anterior chamado “WebService utilizando soapHeader e token” publicado no site.

Criei outro método e acrescentei outro dado no soapHeader necessário.

Imagem 1.1

Na imagem 1.1 mostro que o projeto chamado SoapHeader possui um serviço web chamado WebService1.asmx, uma página Default.aspx e uma Web References chamada wssseguro.

Classe de autenticação

Criei uma classe de autenticação, responsável pela autenticação e verificação de usuário, senha e token no soapHeader. Veja o code 1.1.

public class AuthenticationSoapHeader : SoapHeader

{

private string _devToken;

private string _user;

private string _pw;

public string Pw

{

get { return _pw; }

set { _pw = value; }

}

public string User

{

get { return _user; }

set { _user = value; }

}

public string DevToken

{

get { return _devToken; }

set { _devToken = value; }

}

public AuthenticationSoapHeader() { }

public AuthenticationSoapHeader(string devToken, string user, string pw)

{

_devToken = devToken;

_user = user;

_pw = pw;

}

Code 1.1

Explicação:

A primeira coisa foi estender a classe de SoapHeader. (Code 1.2)

public class AuthenticationSoapHeader : SoapHeader

Code 1.2

A segunda tarefa feita foi declarar variáveis para gerar as propriedades; referentes ao mesmo dado, usuário, senha e token. Gerei dois métodos construtores na classe, uma que não tem parâmetro de entrada e outra que tem três parâmetros de entrada; isso é necessário. (Code 1.3)

public AuthenticationSoapHeader() { }

public AuthenticationSoapHeader(string devToken, string user, string pw)

{

_devToken = devToken;

_user = user;

_pw = pw;

}

Code 1.3

Explicação:

Coloquei o construtor recebendo os três parâmetros e adicionando os mesmos as propriedades criadas para um melhor uso quem o chamar.

No artigo anterior, mostrei como verificar uma autenticação do usuário no banco de dados, esse artigo está publicado no site. Para explicar um pouco melhor, deixo usuário digitar a senha, gero um hash dela com um número aleatório e a senha gerada; depois gravo no banco de dados com esse número de controle, como se fosse um id de controle para cada usuário. Para a autenticação do usuário, basta pegar esse id de controle, pegar a senha que usuário digitou e comparar os dados, caso for verdadeiro, o mesmo logou sem qualquer problema.

Peguei esse artigo e gerei um serviço na web de autenticação e verificação de usuário. Os próximos passos são: gerar o método que cria um número aleatório para cada usuário e em seguida gerar um método que calcula hash.

/// <summary>

/// Método que gerar numero aleatorio

/// </summary>

/// <returns>int</returns>

private int GerarNrAleatorio()

{

Random rnd = new Random();

return rnd.Next();

}

Code 1.4

Gera um número aleatório com o Random().

/// <summary>

/// Método que calcula hash dinâmica

/// </summary>

/// <param name="input">por exemplo: password</param>

/// <returns>string</returns>

private string CalcularHash(string input)

{

MD5 md5 = System.Security.Cryptography.MD5.Create();

byte[] inputBytes = System.Text.Encoding.ASCII.GetBytes(input);

byte[] hash = md5.ComputeHash(inputBytes);

StringBuilder str = new StringBuilder();

for (int i = 0; i < hash.Length; i++)

{

str.Append(hash[i].ToString("X2"));

}

return str.ToString();

}

Code 1.5

Explicação:

Utilizei a classe Cryptography para gerar em Bytes a esse hash. Depois disso utilizei também o md5, fiz um for para gerar letra por letra.

O passo seguinte é gerar o um método público chamado AutenticarUsuario() sem qualquer parâmetro de entrada, porém dentro do mesmo é verificado todo o soapHeader.

Code 1.6

public object AutenticarUsuario()

{

if (ValidationSoap != null &&

ValidationSoap.User != null &&

ValidationSoap.Pw != null &&

ValidationSoap.DevToken != null)

{

//abro o banco de dados

conn = DTecDefination.GetHelper();

//toda regra para buscar o usuario e autenticar

string numero;

StringBuilder str = new StringBuilder();

str.Append("select controle from tb_usuario where nome=@nome");

try

{

SqlCommand cmd = new SqlCommand(str.ToString());

cmd.Parameters.Add("@nome", SqlDbType.VarChar).Value = ValidationSoap.User;

conn.GetSourceConnection();

DataSet dtSet = conn.ExecutaDataSetParameter(cmd);

if (dtSet != null)

if (dtSet.Tables[0].Rows.Count > 0)

{

numero = dtSet.Tables[0].Rows[0]["controle"].ToString();

string hash = CalcularHash(numero + ValidationSoap.Pw);

StringBuilder strHash = new StringBuilder();

strHash.Append("select chave from tb_usuario where senha = @hashT");

SqlCommand bdCommand = new SqlCommand(strHash.ToString());

bdCommand.Parameters.Add("@hashT", SqlDbType.VarChar).Value = hash;

object obj = conn.ExecutaScalarParameter(bdCommand);

if (obj != null)

return obj;

else

return null;

}

else

return null;

else

return null;

}

catch (Exception ex)

{

return null;

}

else

return null;

}

Code 1.6

Explicação:

A primeira coisa foi verificar se o ValidationSoap é diferente de null, em seguida verifiquei o User, Pw e DevToken. Abri o banco de dados, gerei o select no banco de dados, lembro que pode ser usado stored procedure sem qualquer problema. Depois executei o comando ExecutaDataSetParameter.

Verifiquei se trouxe algum dado no DataSet, calculei o Hash passando o número e a senha do usuário, caso for igual o método retorna um Object com o número do usuário. Caso queira gerar uma sessão para identificar o usuário e tudo mais. Compilei o código e ficou tudo ok. Preciso adicionar o webservice junto ao projeto. (Imagem 1.2)

Imagem 1.2

Cliquei com o botão direito em cima de Web References e escolhi a opção Add Web Referece....

Adicionei o endereço do localhost e dei um nome a ele. Lembro que o endereço é particular de cada um, isso porque cada projeto pode colocar uma porta diferente no momento. O endereço gerado pelo meu servidor de aplicação do Visual Studio .NET Team System (http://localhost:1189/webservice1.asmx). O nome adiciona do foi wsseguro.

Consumir WebService

Agora em diante, preciso consumir o webservice gerado na aplicação. Lembro que existe uma página default.aspx.cs no projeto. (Code 1.7)

protected void Page_Load(object sender, EventArgs e)

{

wsseguro.WebService1 ws = new SoapTeste.wsseguro.WebService1();

wsseguro.AuthenticationSoapHeader soap = new SoapTeste.wsseguro.AuthenticationSoapHeader();

soap.DevToken = "123425";

soap.User = "mauricio";

soap.Pw = "mauricio";

ws.AuthenticationSoapHeaderValue = soap;

Object obj = ws.AutenticarUsuario();

if (obj == null)

{

Response.Write("Usuário não autorizado");

}

else

{

int numero = int.Parse(obj.ToString());

Response.Write("Usuario autorizado -" + numero);

}

Code 1.7

Primeiro, criei uma instância do webservice, depois o soap. Adicionei os valores no soap e falei para o webservice gerado pela variável ws, o seu valor. O passo seguinte foi chamar o método AutenticarUsuario().

Depois precisei apenas verificar os dados para mostrar a mensagem na tela. (Imagem 1.3)

Imagem 1.3

Funcionou perfeitamente a autenticação e autorização do usuário logado. Dai em diante, a sua criatividade pode ser exercitada livremente. Caso coloque um usuário ou senha inválidos, ou mesmo o token, veja a mensagem que é apresentada na tela. (Imagem 1.4).