2

我编写了一个 WCF 客户端,它使用 wsfederationhttpbinding 对 STS 和 RPS 进行身份验证。我最近注意到(使用 Fiddler)从 STS 收到的响应包含一个用于证明令牌的 SymmetricKey(因为我已将客户端配置为请求),但证明令牌未加密。

关于这个的几个问题:

  1. 据我了解,如果证明令牌未加密,则没有任何意义(例如,没有采取任何额外措施来防止中间人攻击)
  2. 如何请求 STS 加密证明令牌?
  3. 我可以在我的 RST 中向 STS 提供一个公钥,以便它加密证明令牌吗?
  4. 如果是这样,我如何配置我的 WCF 客户端来执行此操作?

提前致谢...

4

0 回答 0