Segurança nos XML Web Services

Atualmente, uns dos assuntos mais discutidos pelos desenvolvedores refere-se � implementa��o de Web Services. � poss�vel desenvolver rapidamente XML Web Services no Visual Studio .NET, seja em Visual Basic .NET, C# ou Managed C++. Essa caracter�stica possibilita integrar aplica��es de miss�o cr�tica concebidas em diversas linguagens e em diferentes ambientes, num curto espa�o de tempo e a um custo baixo.

Entretanto, toda a tecnologia de Web Services � baseada em protocolos usados na Internet, que s�o naturalmente inseguros. Os Web Services trocam dados entre si atrav�s de mensagens SOAP (Simple Object Access Protocol) transmitidas pelo protocolo HTTP ou SMTP, as quais podem ser capturadas por estranhos ao longo do processo de transmiss�o. Este artigo ensina como implementar essa troca de mensagens em Web Services de forma segura, utilizando a plataforma .NET.

XML Web Services: Relembrando...

Antes de falarmos sobre seguran�a em XML Web Services, � importante entender o conceito e a proposta. O site da Microsoft sobre Web Services traz uma defini��o muito interessante: �XML Web Services s�o fundamentais no desenvolvimento de aplica��es em ambiente distribu�do que utilizam a Internet. Padr�es abertos, com foco na comunica��o e colabora��o entre pessoas e aplica��es, criando um ambiente onde XML Web Services se tornem a plataforma para integra��o de aplica��es. As aplica��es ser�o constru�das com m�ltiplos XML Web Services, de v�rias fontes, que estar�o trabalhando juntos, independentemente de sua localiza��o e de como foram implementados�.

Observando mais detalhadamente a tecnologia de Web Services, � poss�vel notar que o grande interesse da comunidade t�cnica � justificado pelo potencial oferecido em termos de computa��o distribu�da. Outro aspecto importante � que eles permitem uma Arquitetura Orientada a Servi�os (SOA - Service-Oriented Architecture). Quando se utiliza Web Services para a constru��o dessa arquitetura, as solu��es consistem em cole��es de servi�os independentes, auto-suficientes, identificados por URLs, com interfaces documentadas atrav�s de WSDL e que processem mensagens XML. O SOA � um complemento a abordagens orientadas a objetos (OO) e procedurais. Basicamente, os padr�es utilizados na implementa��o de XML Web Services neste artigo s�o os seguintes:

XML (Extensible Markup Language): o XML � base sobre o qual s�o constru�dos os XML Web Services. O XML prov� a descri��o, o armazenamento e o formato de transmiss�o de dados. O XML � um padr�o simples, independente de plataforma e amplamente disseminado;
SOAP (Simple Object Access Protocol): o SOAP � um protocolo simples baseado em XML e usado para troca de informa��es estruturadas na web. O SOAP define ainda como acessar servi�os, objetos e servidores atrav�s da Internet;
WSDL (Web Service Description Language): O WSDL atua como uma esp�cie de gram�tica para os Web Services, descrevendo como usar os m�todos, par�metros e valores de retorno. Assim como o SOAP, o WSDL tamb�m � baseado em XML.

Seguran�a: Vis�o Ampla

Quando desenvolvemos qualquer mecanismo de seguran�a em nossas aplica��es, devemos sempre pensar em quatro itens:

Autentica��o � Verifica a identidade de um dado usu�rio, averiguando se ele � realmente quem diz ser;
Autoriza��o � Determina que somente usu�rios com privil�gios (autorizados) possam acessar determinadas aplica��es ou servi�os;
Integridade � Verifica a integridade das mensagens, observando se elas foram alteradas durante a transmiss�o. Nesse caso, podemos usar diversos mecanismos de criptografia de chave assim�trica ou sim�trica, dispon�veis na plataforma .NET;
Privacidade � Devemos assegurar que as mensagens n�o sejam abertas por pessoas n�o autorizadas, seja durante a transmiss�o ou o armazenamento.

N�veis de Seguran�a nos XML Web Services

Assim como existem diversas formas de criar XML Web Services no Visual Studio 2003, existem tamb�m v�rias maneiras de agregar seguran�a. Obviamente elas podem ser implementadas em separado ou em conjunto, de acordo com os objetivos do projeto. Essas solu��es podem ser classificadas em n�veis:

N�vel de Seguran�a baseado em plataforma e em transporte � O canal de transporte entre dois Web Services (cliente e servidor) � usado para implementar seguran�a ponto-a-ponto. Neste n�vel, devem ser usados os mecanismos de seguran�a do pr�prio sistema operacional Microsoft Windows, como, por exemplo, a autentica��o do Microsoft IIS (Basic, Digest, Integrated NTLM ou Kerberos e autentica��o baseada em certificados digitais padr�o X.509), o SSL (Secure Sockets Layer), o IPSec (Internet Protocol Security) e os recursos pr�prios do ASP.NET para autentica��o e autoriza��o;
N�vel de Seguran�a baseado na aplica��o � Neste caso, os mecanismos de seguran�a s�o constru�dos na pr�pria aplica��o. Estes podem ser as credenciais de usu�rios ou as licen�as (tickets) passadas dentro do cabe�alho da mensagem SOAP ou atrav�s de criptografia de mensagens (por meio do namespace System.Security);
N�vel de seguran�a baseado em mensagens � Este � o m�todo mais flex�vel e poderoso de seguran�a em XML Web Services. Ele � baseado na especifica��o WS-Security, que faz parte de uma iniciativa da Microsoft denominada GXA (Global XML Web Services Architecture). Somente esta especifica��o possibilita implementar arquiteturas seguras em ambientes heterog�neos, usando m�ltiplas tecnologias de criptografia e sem se preocupar com os mecanismos de transporte. Neste n�vel, � poss�vel implementar a seguran�a end-to-end, que permite que as mensagens passem por v�rias aplica��es intermedi�rias sem correrem o risco de viola��o.

WS-Security

WS-Security � uma especifica��o que facilita o desenvolvimento de Web Services seguros. Em 2002, a Microsoft, a IBM e a VeriSign desenvolveram em parceria o Web Services Security (WS-Security). O objetivo era produzir um padr�o que gerasse interoperabilidade entre aplica��es produzidas em linguagens diferentes e ambientes heterog�neos. A Figura 1 mostra os principais itens do WS-Security:

Note que a especifica��o WS-Security � baseada no protocolo de mensagens SOAP. Veja a seguir uma pequena descri��o dos itens da Figura 1:

WS-Policy � Permite que os Web Services especifiquem quais os requisitos de seguran�a necess�rios para que voc� os acesse. Em geral, s�o usados certificados digitais X.509;
WS-Trust � Define como devem ser estabelecidas as rela��es de confian�a. Essas rela��es podem ser diretas ou atrav�s de brokers/negociadores;
WS-Privacy � Explica quais itens devem ser inclu�dos dentro das descri��es do WS-Policy;
WS-SecureConversation � Descreve como deve ser o canal de comunica��o entre Web Services para que haja confiabilidade na transmiss�o de mensagens. Em geral, usa-se o protocolo SSL;
WS-Federation � Descreve uma camada integradora de requisitos WS-Policy e as rela��es de confian�a do WS-Trust;
WS-Authorization � Identifica quais itens devem ser verificados no processo de autoriza��o e autentica��o de Web Services.

Arquitetura de Mensagens SOAP

A seguran�a no n�vel de mensagens � baseada no protocolo SOAP. Compreender este protocolo � essencial para desenvolver Web Services seguros. A arquitetura de uma mensagem SOAP consiste em um envelope que cont�m um cabe�alho (opcional) e o corpo da mensagem (mandat�rio). O corpo inclui os dados espec�ficos � mensagem, e o cabe�alho apresenta informa��es gerais sobre a mensagem.

Como a especifica��o SOAP n�o faz restri��es sobre o conte�do do cabe�alho, ele pode ser usado para diversos tipos de informa��es, tais como informa��es de autentica��o, identifica��o da transa��o ou para dados sobre a sess�o iniciada. A extensibilidade das mensagens SOAP � determinada pela caracter�stica do cabe�alho.

**Listagem 1.** Formato de um arquivo SOAP.

WS-Security em Detalhes

Conforme mencionado anteriormente, a WS-Security facilita a utiliza��o de v�rios padr�es de seguran�a nos XML Web Services, como a infra-estrutura de chaves p�blicas (PKI), e de forma neutra ao m�todo de transporte desta mensagem. Para implementar esses padr�es, � usado o cabe�alho da mensagem SOAP. Por exemplo, � poss�vel enviar no cabe�alho as credenciais do usu�rio, atrav�s do elemento UsernameToken, tamb�m chamado de security token. A Figura 2 mostra um exemplo deste envelope.

**Figura 2.** Envelope com as credenciais do usu�rio.

Veja na Listagem 2 o arquivo com a mensagem SOAP usando WS-Security.

Processamento de Mensagens SOAP Usando o UserNameToken

Como processar mensagens SOAP que cont�m UserNameToken utilizando o Visual Studio .NET 2003? A Listagem 3 mostra um trecho em ASP.NET que executa esta tarefa.

Listagem 3. C�digo em C#.


   using System;
   
   using System.Collections;
   
   using System.ComponentModel;
   
   using System.Data;
   
   using System.Diagnostics;
   
   using Microsoft.Web.Services.Security;
   
   using Microsoft.Web.Services;
   
   using System.Security.Cryptography;
   
    
   
   namespace WSEUsernameToken
   
   {
   
   public class Service1 : System.Web.Services.WebService
   
   {
   
   [WebMethod]
   
   public string ExemploToken ()
   
   {
   
     SoapContext requestContext =
   
   HttpSoapContext.RequestContext;
   
     // Verifica a mensagem SOAP recebida.
   
     if (requestContext == null)
   
     {
   
   throw new
   
   ApplicationException("N�o � uma mensagem SOAP ou o WSE n�o est� instalado.");
   
     }
   
     UsernameToken Token1 =
   
   GetToken( requestContext.Security );
   
     if ( Token1 != null )
   
     {
   
   value = "Este � um exemplo de uso do UserNameToken";
   
     }
   
     return value;
   
   }
   
    
   
   private UsernameToken GetToken(Security sec )
   
   {
   
     UsernameToken value = null;
   
     if ( sec.Tokens.Count > 0 )
   
     {
   
   foreach ( SecurityToken tok in sec.Tokens )
   
   {
   
   value = tok as UsernameToken;
   
   if ( value != null )
   
   {
   
   return value;
   
   }
   
   }
   
     }
   
     return value;
   
     }
   
   }
   
   }

Neste trecho de c�digo, verificamos que cada mensagem SOAP pode ter um ou mais security tokens e que os UsernameToken v�o sendo retornados atrav�s de um for-each. � importante observar que o c�digo da Listagem 3 � apenas ilustrativo e n�o funcionar� se for copiado e colado num projeto de ASP.NET Web Services.

WSE (Web Services Enhancements)

Para implementar XML Web Services seguros usando a especifica��o WS-Security no .NET, � necess�rio instalar o WSE (Web Services Enhancements).

Com o WSE instalado, voc� poder� implementar no aplicativo as novas funcionalidades dos XML Web Services, as quais s�o constantemente atualizadas nas especifica��es de Web Services.

Conclus�o

Este artigo abordou a seguran�a em n�vel de mensagens (SOAP). No entanto, � importante observar que o cuidado com a seguran�a na implementa��o de XML Web Services � proporcional ao n�vel de complexidade do projeto. Quanto mais cr�tico for projeto, mais aten��o � seguran�a ele demandar�!

Tecnologias:

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Alexandre Em 2009

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso