2

我需要使用 Web API,并对这些调用实施安全性。我知道如何在 WCF 中做我需要做的事情,但是 Web API 在其变得更简单的努力中令人沮丧。SSL,我想我明白了。我在服务器上安装了一个证书,不知何故我还需要在客户端上安装它,我通过将证书添加到WebRequestHandler.ClientCertificates属性中来设置它......我认为这就是它的工作原理。

但我也想实现消息安全,我使用安装在客户端和客户端上的个人证书对消息进行签名和加密。然后可以使用该证书来验证客户端的身份,并处理消息。

那么,我的问题是三个方面

  1. 我是否正确理解其中的 SSL 部分?
  2. 我可以实施第二个证书来签署消息,还是 Web API 中不存在此功能?
  3. 如果无法使用证书,那么 X509SecurityToken 呢?我找不到任何这样的例子。
4

1 回答 1

1

HTTP 本身没有做消息安全的规范。你可以自己动手,但你在这里是靠自己的。

我认为你弄错了 SSL 部分 - 服务器证书不需要安装在客户端上。您只需要使用客户端信任的证书(例如,颁发者是受信任的)。

此外,您可以使用客户端证书对客户端进行身份验证。

于 2013-04-27T06:57:21.603 回答