1 Platformy Technologiczne web servicesmgr inż. Tomasz Gawron
2 Usługi www Jednostka (komponent) udostępniona (adresowalna) przez standardowe protokoły internetowe... która realizuje jakiś wartościowy proces biznesowy. Dostępna globalnie poprzez użycie protokołu HTTP i formatu danych opartych na XML Łatwa do odkrycia i zrozumienia dzięki standardowi UDDI (Universal Description, Discovery and Integration), który jest specyfikacją interfejsu odpowiedzialnego za katalogowanie usług. Umożliwia przeszukiwanie rejestru usług, ich analizę i zarządzanie wpisami. Kontrakt usługi opisuje dostępne usługi jako wiadomości, które dostawca Web Service akceptuje i generuje WSDL (Web Services Definition Language) służy do opisu usług, definiuje oferowane interfejsy i fizyczną lokalizację punktów końcowych Komunikacja – użycie standardowych protokołów i formatów danych HTTP (GET i POST), XML, SOAP (Simple Object Access Protocol), Dowolny system, który rozumie te protokoły będzie może współpracować z serwisem Platformy Technologiczne 2012
3 Cykl życia usługi Platformy Technologiczne 2012
4 Tworzenie usługi .asmx.cs .asmx Platformy Technologiczne 2012using System; using System.Web.Services; public class Service1 : WebService { [WebMethod] public type function1() //function_here } } WebService Language="c#" Codebehind="Service1.asmx.cs" Class="XMLWebServiceName.Service1" %> Platformy Technologiczne 2012
5 Atrybuty WS Atrybuty są opcjonalne, służą rozszerzaniu funkcjonalnościWebMethod Wymagany jest do udostępnienia funkcjonalnosci przez webservice. Przykładowe właściwości BufferResponse – buforowanie odpowiedzi CacheDuration – liczba sekund przez które odpowiedź jest trzymana w cache Description – opis metody EnableSession – ustawienie dostępności sesji MessageName – może być użyty jako alias do metody TransactionOption – wsparcie dla transakcji [WebService(Namespace="http://www.dateservices.com/ws/", Description="Web Service that Provides Date Functions.")] public class BirthDay : System.Web.Services.WebService Platformy Technologiczne 2012
6 Testowanie WS Platformy Technologiczne 2012Wpisz w przeglądarce URL usługi WebService Wybierz metodę XML Web Wywołaj tę metodę Przeczytaj wynik w XML Platformy Technologiczne 2012
7 Mechanizm proxy Utwórz Web reference dla XML Web ServiceUtwórz instancję XML Web Service Wywołaj metodę XML Web Service Utwórz (Build) aplikację ASP.NET Web Application Obsługa błędów private void Button1_Click(object sender, System.EventArgs e) { GetStocks.localhost.service1 ProxyGetStocks = new GetStocks.localhost.Service1(); lblResults.Text = ProxyGetStocks.GetRating("Contoso"); } GetStocks.StockWebRef.Service1 ProxyGetStocks = new GetStocks.StockWebRef.Service1(); ProxyGetStocks.Timeout = 10000; try { lblMessage.Text = ProxyGetStocks.GetRating(TextBox1.Text); } catch (Exception err) lblMessage.Text = err.Message; Platformy Technologiczne 2012
8 Klasa pośrednicząca Ma taką samą nazwę co klasa reprezentowanej przez nią usługi Web oraz zawiera metody o takich samych nazwach jak metody usługi Web Kod w klasie pośredniczącej służy do przekazywania wywołań i wyników; obliczenia są realizowane przez usługę Web Kod klasy proxy dziedziczy metody klasy System.Web.Services.Protocols.SoapHttpClientProtocol Wybrane metody System.Web.Services.Protocols.SoapHttpClientProtocol: Metoda Opis BeginInvoke() Rozpoczyna asynchroniczne wywołanie metody EndInvoke() Kończy asynchroniczne wywołanie metody Invoke() Invokes the Web method synchronously. CookieContainer Oferuje dostęp do kolekcji cookies. Proxy Oferuje dostęp do informacji o proxy Timeout Ustawia timeout Url Ustawia URL dostępowy Platformy Technologiczne 2012
9 SOAP Simple Object Access Protocol Używa gramatyki XML do: Cechy:Protokół do wymiany informacji w rozproszonym środowisku; przekazuje komunikaty żądanie/odpowiedź Wykorzystuje zwykle HTTP Jest niezależny od platformy Używa gramatyki XML do: Określania nazw metod Definiowania typów parametrów i zwracanych wartości Opisu typów Określa sposób wysyłania/odbierania komunikatów/odpowiedzi oraz kodowania Cechy: rozszerzalność możliwość zastosowania wielu różnych protokołów sieciowych (HTTP, SMTP lub MSMQ) niezależność od zastosowanego modelu programistycznego Schemat żądania: POST /WebCalculator/Calculator.asmx HTTP/1.1 Content-Type: text/xml ... SOAPAction: “http://tempuri.org/Add” Content-Length: 386
10 Schemat XML definiujący SOAP
11 Budowa SOAP Infrastruktura komunikacyjna specyfikacji SOAP składa się z następujących podstawowych elementów XML: Envelope (koperta), Header (nagłówek), Body (treść) oraz Fault (błąd) z przestrzeni nazw Element Header – informacje precyzujące sposób traktowania wiadomości uwierzytelnianie – odbiorca może wymagać uwierzytelniania przed przystąpieniem do przetwarzania wiadomości streszczenie wiadomości – w celu zapewnienia ochrony przed przekłamaniem treści wiadomości podczas transportu poprzez wielu pośredników, można tu zastosować np.: podpis cyfrowy informacje o routingu – dotyczy to np.: miejsc przeznaczenia wiadomości oraz kolejności w jakiej musi ona tam dotrzeć transakcje – konieczność wykonania pewnych czynności w ramach transakcji nadawcy informacje o odpłatności – informacje niezbędne do obliczenia należności za świadczenie usług przez odbiorcę wiadomości w zależności od stopnia wykorzystania tych usług Element Body reprezentuje właściwą treść komunikatu; to pojemnik, który może zawierać dowolną liczbę elementów (danych) dowolnej przestrzeni nazw, które chcemy przesłać w komunikacie. Zawiera dane przeznaczone dla ostatecznego odbiorcy. Element Fault, umieszczony wewnątrz elementu Body — może informować o błędach Platformy Technologiczne 2012
12 Wiązanie SOAP do protokołówWiązanie SOAP dla danego protokołu definiuje, w jaki sposób komunikaty SOAP są przesyłane za pomocą tego protokołu. Specyfikacja SOAP 1.1 kodyfikuje wyłącznie wiązanie do protokołu HTTP Wzorzec komunikacji żądanie/odpowiedź protokołu SOAP odpowiada modelowi żądanie/odpowiedź protokołu HTTP Platformy Technologiczne 2012
13 Formaty komunikatów SOAPDwie kategorie (style) komunikatów SOAP: wiadomości dokumentacyjne – przesyłanie dokumentów XML, których format jest uzgodniony pomiędzy nadawcą i odbiorcą wiadomości proceduralne – zapewniają komunikację dwukierunkową i są określane mianem zdalnego wywoływania procedur (RPC). Treść takiej wiadomości zawiera żądanie wykonania jakiejś operacji na serwerze wraz z wymaganymi argumentami oraz zwrócenia wyników. Wiązanie RPC mówi, że wywołanie metody jest przedstawiane jako struktura struct nosząca nazwę tej metody. Dla każdego parametru wejściowego [in] lub wejściowo- wyjściowego [in/out] struktura będzie zawierać element, noszący nazwę danego parametru. Sposoby zapisu serializowanych danych Literal - dane są serializowane zgodnie z regułami języka XML Schema Encoded – dane są serializowane zgodnie z określoną regułą kodowania ( np. SOAP Encoding) Platformy Technologiczne 2012
14 WSDL Web Services Description Languagejakie komunikaty XML mogą być użyte możliwe metody komunikacji. Wymiana komunikatów jest nazywana operacją. grupowania powiązanych ze sobą operacji w interfejsy jaki protokół komunikacyjny należy stosować do komunikacji z usługą oraz mechanizmy związane z danym protokołem - stosowane polecenia, nagłówki i kody błędów opisanie sposobu korzystania z interfejsu w połączeniu z konkretnym protokołem komunikacyjnym - wiązanie każde wiązanie powinno być dostępne pod unikalnym, identyfikowanym za pomocą URI adresem, nazywanym także punktem końcowym usługi XML Web Service Platformy Technologiczne 2012
15 Struktura dokumentu WSDL
16 Elementy types
17 Elementy message Element message definiuje abstrakcyjny komunikat, który ma służyć jako dane wejściowe lub wyjściowe operacji. Komunikaty składają się z co najmniej jednego elementu part (odpowiednik parametru metody) i z każdym takim elementem związany jest albo atrybut element (gdy treść komunikatu stanowi dokument XML), albo atrybut type (gdy treść komunikatu to wywołanie RPC).
18 Interfejsy portType Element portType definiuje grupę operacjiKażdy element portType musi posiadać unikalną nazwę, dzięki której można się do niego odwoływać z innych obszarów definicji WSDL. Każdy element operation zawiera kombinację elementów input i output (jeśli zawiera elementy output, to może także zawierać elementy fault). Kolejność tych elementów definiuje wzorzec wymiany komunikatów (MEP) obsługiwany przez daną operację (jednokierunkowy, żądanie-odpowiedź, zaproszenie- odpowiedź, powiadomienie) Elementy input, output i fault, stosowane w elemencie operation, muszą odwoływać się do definicji komunikatu
19 Wiązanie Element binding opisuje szczegóły dotyczące stosowania konkretnego elementu portType z wybranym protokołem. Dla każdej operacji w opisywanym elemencie portType, element binding zawiera element operation, a także kilka elementów rozszerzenia (opis szczegółów wiązania). Wiązanie SOAP do HTTP dla elementu portType o nazwie MathInterface Element soap:binding sygnalizuje, że jest to wiązanie w standardzie SOAP 1.1. Atrybut style elementu informuje o domyślnym sposobie wykorzystania usługi (możliwe wartości to document i rpc), a atrybut transport o wymaganym protokole transportowym (w tym przypadku HTTP). Element soap:operation definiuje wartość nagłówka HTTP SOAPAction dla każdej operacji. Atrybut use elementu soap:body określa sposób kodowania poszczególnych fragmentów komunikatu wewnątrz elementu body (możliwe wartości literal i encoded).
20 Services
21 UDDI UDDI (Universal Description, Discovery and Integration) jest:jednym z podstawowych komponentów architektury SOA mechanizmem odnajdywania opisów usług, którego główną rolą jest standaryzacja profili usług, ich przechowywanie oraz umożliwienie odnalezienia potrzebnej usługi i skorzystania z niej katalogiem (rejestrem) o dostawcach i ich usługach, o strukturze zgodnej ze standardowym modelem danych White Pages Yellow Pages Green Pages Podstawowa informacja kontaktowa, identyfikator firmy lub dostawcy usługi. Kategoryzacja usług web według taksonomii: NAICS - North American Industry Classification System SIC - Standard Industrial Classification … Informacja techniczne opisująca usługi web Platformy Technologiczne 2012
22 UDDI Binding model businessEntity tModel 0..n businessServicePodstawowe informacje identyfikujące firmę, także w kontekście branżowym, geograficznym businessEntity Information about the entity who offers a service businessService Descriptive information about a particular family of technical offerings bindingTemplate Technical information about a service entry point tModel Description of specifications for services 0..n Referencje do tModel, której obiekty opisują (lokalizację) specyfikacji usługi WSDL Informacje o usłudze Informacje techniczne dla wywołania usługi. Zbiór odnośników do specyfikacji Platformy Technologiczne 2012
23 WSDL - UDDI Platformy Technologiczne 2012
24 Interopability WS-Security WS- Reliable Messaging WS-TransactionAdresowanie zasobów Adresowanie komunikatów SOAP na poziomie transportowym (np. HTTP) WS-Addressing Referencja punktu końcowego (endpoint reference) – adres zasobu Właściwości adresowania wiadomości (message addressing properties) – identyfikacja komunikatów przesyłanych pomiędzy klientami i usługami
25 Zagrożenia usług WWW Zagrożenia, które bezpośrednio dotyczą komunikatów przesyłanych do i z usługi - na poziomie przesyłanych wiadomości Zagrożenia, mogące utrudniać dostęp do usługi oraz pozostałe, niezwiązane bezpośrednio z komunikacją odbywającą się w ramach wywoływania usługi przez aplikacje klienckie. Platformy Technologiczne 2012
26 Zagrożenia usług WWW Wtrącanie do konwersacji wcześniej wysłanych i poprawnie uwierzytelnionych komunikatów Nieupoważniona modyfikacja danych Należy zapewnić sposób sprawdzania zmian dokonanych w wiadomości po jej wysłaniu lub zabezpieczyć wiadomość przed przeczytaniem. modyfikacje schematów XML. Uniemożliwienie korzystania z usługi klientom przesyłającym informacje bazujące na dotychczasowym schematom Powstanie dziury, przez którą poinformowane osoby mogą przesyłać dane powodujące nieokreślone skutki, np. straty pieniężne czy wycieki informacji Ujawnianie informacji podsłuchiwanie wymiany komunikatów w sieci, celem nie jest ich modyfikacja tylko zdobycie wiedzy na temat realizowanych zadań oraz przesyłanych danych Fałszowanie tożsamości przejęciu danych identyfikacyjnych należących do innego użytkownika. Dane takie, to między innymi nazwa użytkownika, jego hasło, klucz prywatny. Posiadając te dane, atakujący może udawać, że jest osobą, która jest ich właścicielem i dokonywać w jej imieniu różnorodnych „złośliwych” czynności. Blokowanie usługi (DOS) Wyparcie/odrzucenie przez użytkownika własnego autorstwa czynności Platformy Technologiczne 2012
27 Ataki na WSDL i UDDI Polegają na podmianie informacji zawartych w schematach opisu usług Web – WSDL lub w strukturach systemu wyszukiwania usług UDDI, w celu bezpośredniego pozyskania poufnych informacji lub przekierowania połączenia na inny serwer Platformy Technologiczne 2012
28 WS-I Basic Security ProfileSpecyfikacja zawiera: Transport Layer Security (SSL/TLS) SOAP Message Security różnorodne modele zabezpieczeń, takie jak: PKI, Kerberos czy SSL. wspiera także wiele formatów tokenów zabezpieczeń, domen zaufania, rodzajów podpisów cyfrowych i technologii szyfrowania XML Digital Signature (XMLDSIG) - standard określający możliwość dołączania informacji o podpisie cyfrowym do wiadomości zbudowanej w formacie XML oraz procedury i obsługę sprawdzania takich podpisów XML Encryption - standard zapewniający bezpieczeństwo przesyłanych wiadomości przez całą ich drogę, od punktu początkowego (nadawcy) do końcowego (odbiorcy wiadomości) Platformy Technologiczne 2012