构建安全的Xml Web Service系列二 (1)

　上一篇文章地址：构建安全的Xml Web Service系列一之初探使用Soap头

　　要分析Xml Web Service的安全性，首先要解决的问题是我们能了解和清楚Soap消息的格式和内容，如果获得不了SoapMessage，分析如何能构建安全Xml web service也就无从下手，即使分析出来，自己也可能模模糊糊，不能定论。下面就分析下如何获得SoapMessage。

　　首先介绍一个类-SoapExtension，msdn对这个类的备注为：ASP.NET 允许通过扩展性机制生成与 SOAP 相关的基础结构。ASP.NET SOAP 扩展结构以一种扩展为中心，该扩展可以在客户端或服务器上处理消息时在特定阶段中检查或修改消息。ASP.NET SOAP 扩展从 SoapExtension 类派生。GetInitializer 和 Initialize 方法提供其他可用机制，用于初始化 SOAP 扩展以增强性能。ProcessMessage 是大多数 SOAP 扩展的核心，原因是该方法在 SoapMessageStage 中定义的每一个阶段都被调用，从而使 SOAP 扩展得以执行所需的该特定 SOAP 扩展的行为。对于需要修改 SOAP 请求或 SOAP 响应的 SOAP 扩展，ChainStream 提供一个机会以接收要通过网络发送的建议数据。 仔细阅读这段文字，如果您以前开发过windows程序，那第一个应该想到的是：原来web service的处理机制和windows窗口程序的消息机制竟然有着一曲同工之妙。下面谈谈如何利用这个类，来截获Xml web Service请求和相应的Soap消息，从而看看xml web service的庐山真面目。

　　首先大家先看看这个类，这个类完成的功能是将Xml Web Service通过扩展的方式，将每次的请求和响应的Soap消息通过日志的方式保存到文本文件中。日志记录的方式也有两种：

　　1。针对每个WebMethod产生一个日志文件。

　　2。针对每个WebService产生一个日志文件

　　因为一个WebService可能包含一个或者多个WebMethod，所以如果指定两种方法都支持的话，那第二个日志两面应该包括第一个日志里面的内容，而有些情况下，是不需要对每个WebMethod都进行日志记录的，这时候采用第一种记录方式，增强了系统的灵活性。

　　下面是扩展了的SoapExtension

<webServices>
        <soapExtensionTypes>
          <add type="Jillzhang.TraceExtension,Jillzhang" priority="1"  group="High"  />
        </soapExtensionTypes>
      </webServices>

可以记录SoapMessage的SoapExtension

namespace Jillzhang
{
    public class TraceExtension: SoapExtension
    {
        static readonly string LogRoot = System.Configuration.ConfigurationManager.AppSettings["logRoot"];
        Stream oldStream;
        Stream newStream;
        string filename;
       /// <summary>
       /// 将请求流和响应流存到内存流中，已被调用
       /// </summary>
        /// <param name="stream">包含 SOAP 请求或响应的内存缓冲区</param>
        /// <returns>它表示此 SOAP 扩展可以修改的新内存缓冲区。</returns>
        public override Stream ChainStream(Stream stream)
        {
            oldStream = stream;
            newStream = new MemoryStream();
            return newStream;
        }
        /// <summary>
        /// 在Xml Web Service第一次运行的时候，一次性的将通过TraceExtensionAttribute传递进来的
        /// 保存日志信息的文件名初始化
        /// </summary>
        /// <param name="methodInfo">应用 SOAP 扩展的 XML Web services 方法的特定函数原型</param>
        /// <param name="attribute">应用于 XML Web services 方法的 SoapExtensionAttribute</param>
        /// <returns>SOAP 扩展将对其进行初始化以用于缓存</returns>
        public override object GetInitializer(LogicalMethodInfo methodInfo, SoapExtensionAttribute attribute)
        {
            return ((TraceExtensionAttribute)attribute).Filename;
        }
        /// <summary>
        /// 替代为每个方法配置的保存SoapMessage文件名，而是将整个网络服务
        /// 的SoapMessage都保存到一个日志文件中,这个文件路径需要在Web Service
        /// 的配置文件中web.config指出,如
        /// <appSettings>
        ///  <add key="logRoot" value="c:\\serviceLog"/>
        /// </appSettings>
        /// </summary>
        /// <param name="WebServiceType">网络服务的类型</param>
        /// <returns>用于保存日志记录的文件路径</returns>
        public override object GetInitializer(Type WebServiceType)
        {
            //return LogRoot.TrimEnd('\\') + "\\" + WebServiceType.FullName + ".log";
            return LogRoot.TrimEnd('\\')+"\\"+ WebServiceType.FullName + ".log";
        }
        //获得文件名，并将其保存下来
        public override void Initialize(object initializer)
        {
            filename = (string)initializer;
        }
       /// <summary>
       /// 当数据还为Soap格式的时候，将数据写入日志
       /// </summary>
       /// <param name="message"></param>
        public override void ProcessMessage(SoapMessage message)
        {
            switch (message.Stage)
            {
                case SoapMessageStage.BeforeSerialize:
                    break;
                case SoapMessageStage.AfterSerialize:
                    WriteOutput(message);
                    break;
                case SoapMessageStage.BeforeDeserialize:
                    WriteInput(message);
                    break;
                case SoapMessageStage.AfterDeserialize:
                    break;
                default:
                    throw new Exception("invalid stage");
            }
        }
        /// <summary>
        /// 将SoapMessage写入到日志文件
        /// </summary>
        /// <param name="message"></param>
        public void WriteOutput(SoapMessage message)
        {
            newStream.Position = 0;
            //创建或追加记录文件
            FileStream fs = new FileStream(filename, FileMode.Append,
                FileAccess.Write);
            StreamWriter w = new StreamWriter(fs);
            string soapString = (message is SoapServerMessage) ? "Soap响应" : "Soap请求";
            w.WriteLine("-----" + soapString + " 在 " + DateTime.Now.ToString("yyyy年MM月dd日 HH时mm分ss秒"));
            w.Flush();
            Copy(newStream, fs);
            w.Close();
            newStream.Position = 0;
            Copy(newStream, oldStream);
        }

        public void WriteInput(SoapMessage message)
        {
            Copy(oldStream, newStream);
            FileStream fs = new FileStream(filename, FileMode.Append,
                FileAccess.Write);
            StreamWriter w = new StreamWriter(fs);

            string soapString = (message is SoapServerMessage) ?
                 "Soap请求" : "Soap响应";
            w.WriteLine("-----" + soapString +
                " 在 " + DateTime.Now.ToString("yyyy年MM月dd日 HH时mm分ss秒"));
            w.Flush();
            newStream.Position = 0;
            Copy(newStream, fs);
            w.Close();
            newStream.Position = 0;
        }
        /// <summary>
        /// 拷贝流到流
        /// </summary>
        /// <param name="from"></param>
        /// <param name="to"></param>
        void Copy(Stream from, Stream to)
        {
            TextReader reader = new StreamReader(from);
            TextWriter writer = new StreamWriter(to);
            writer.WriteLine(reader.ReadToEnd());
            writer.Flush();
        }
    }