0

场景是我们有一个 WCF 服务,它使用我们构建的内部 Web 服务中的方法。

WCF 服务非常轻量级。

我们希望保护此 WCF 服务,以便只有某些客户端可以使用它(它当前位于面向公众的服务器上)。

我们没有能力在这个面向公众的服务器上安装证书,所以我们想知道最好使用的安全模型。

理想的想法是可以通过某种方式对其进行配置,以便客户端使用 WCF 服务简单地“传递”到内部 Web 服务的证书,因为这是在我们控制的服务器上,然后发生证书身份验证。

这可能吗..?如果没有,我们可以采用任何其他安全选项..?

提前致谢。

4

2 回答 2

1

使用消息头并检查其中客户端的凭据的解决方法。也就是说,您可以在消息头中传递用户名和密码,如果精细处理请求,则在 wcf 服务上检查它,否则丢弃它。

于 2012-07-12T09:54:26.653 回答
0

我认为您必须详细说明自己的自定义安全模型。

要解决的主要问题是如何在您和客户之间共享“密钥”。您无法安装证书,因此您必须将密钥存储在其他地方,例如 web.config 内部部分......并以安全的方式将其分发给客户端。

您可以使用此密钥对消息进行签名或加密;您还可以使用加密密码的标准模式。

还要检查您是否可以使用某些 WS-Security 功能!!!

此外,检查 .Net Framework 提供的绑定身份验证和保护模式。

于 2012-07-12T09:50:51.060 回答