【发布时间】:2010-12-30 05:36:22
【问题描述】:
我正在使用 basicHttpBinding 在 IIS 中实现 wcf Web 服务托管,这些应该可以通过 .net 2.0 客户端访问,例如访问 ASMX 服务。
任何机构都可以通过一些示例/示例代码提供详细信息。
谢谢
nRk
【问题讨论】:
标签: wcf
【发布时间】:2010-12-30 05:36:22
【问题描述】:
WCF 比 ASMX 更安全,并且坚持这样一个基本事实,即它绝不允许您在未加密的情况下发送纯文本凭据。
您需要在这里问自己几个问题:
- 如何保护从客户端到服务器的消息,使用户名/密码不以纯文本形式发送?
- 消息到达服务器后如何检查用户名/密码的有效性?
对于第一点,你可以做很多事情:
保护传输层,例如使用 HTTPS(使用 SSL)来保护从客户端到服务器的整个管道。在这种情况下,您无需做太多其他事情 - 整个通信渠道都受到保护
使用加密保护消息(至少是用户名/密码部分)。在这种情况下,您需要在服务器上至少有一个服务证书,以便调用客户端有一个共享密钥来加密消息 - 或者您需要在客户端上安装一个证书(如果您愿意,通常不是一个好主意每个人都打电话给你的服务)
对于身份验证部分,您需要决定:
使用 ASP.NET 成员资格子系统,该子系统已经有一个用户表,您可以根据该表验证提供的凭据
或者从头开始自己制作 - 不推荐,除非你真的必须这样做并且有非常特殊的需要
WCF 安全性不是一个简单的话题 - 您可以在此处找到有关如何执行某些操作的有用信息和方案:
仅凭您提供的几条信息,无法真正给出“做这个做那个”的答案。您需要阅读 WCF 安全性并决定要实施的方案。如果您的问题更关注特定问题/问题,我相信这里的人们可以帮助您解决有关如何在 WCF 安全性中实现某些目标的更具体问题。
【讨论】: