我一直在网上搜索如何以及是否可以验证调用应用程序是否使用正确的证书进行数字签名。
这是供我公司内部使用的。我们希望对我们的应用程序进行数字签名,并且只让我们的数字签名应用程序访问我们的 wcf 服务。这是 iis 的配置还是 wcf 应用程序中的配置?如何?
谢谢马里奥斯
我一直在网上搜索如何以及是否可以验证调用应用程序是否使用正确的证书进行数字签名。
这是供我公司内部使用的。我们希望对我们的应用程序进行数字签名,并且只让我们的数字签名应用程序访问我们的 wcf 服务。这是 iis 的配置还是 wcf 应用程序中的配置?如何?
谢谢马里奥斯
在 WCF 中你不能默认做你想做的事;它根本不会将装配信息作为其任何安全谈判的一部分传递。
您可以通过让程序反映其程序集并使用AssemblyName的 PublicKeyToken 并将其作为请求的一部分传递给服务来伪造它,但我不推荐它;您将很容易受到重放攻击。任何拥有 Reflector 的人都可以在需要时弄清楚如何使用您的服务。
最终,您最好在您的服务中构建某种凭证系统并强制您的用户在使用您的服务时提供这些凭证。