带有 WsHttpBinding 的 WCF 安全 TransportWithMessageCredentials

Question

我有我的网站 (https://example.com)。这是一个互联网应用程序

1. 用户可以从上述网站注册--完成
2. 注册用户将收到一封电子邮件，并且可以点击下载 Windows 客户端（WPF 或 Windows 窗体客户端）- 已完成
3. 此 WPF 或 Windows 窗体客户端将使用托管在 example.com 上的 WCF（部署在 Internet 中）。我在消息正文中内部传递了 UserName 和 Pwd。—已完成

现在我需要知道的是如何在消息级别和传输级别实现安全性。

1. 客户端请求应在消息级别加密
2. WCF 服务器响应应在消息级别加密
3. 客户端和服务器之间的通信应该是 SSL

我已经从msdn.microsoft.com/en-us/library/ff648902.aspx走过

1. 如何：在从 Windows 窗体调用 WCF 中使用 wsHttpBinding 和用户名身份验证和 TransportWithMessageCredentials
2. 如何：将用户名身份验证与 SQL Server 成员资格提供程序和 WCF 从 Windows 窗体调用的消息安全性结合使用
3. 如何：在从 Windows 窗体调用 WCF 中使用证书身份验证和消息安全

阅读以上内容后，我很困惑我需要使用哪一个。请建议哪一个是我的方案的最佳选择，以满足我的上述三个安全条件

如果我使用TransportWithMessageCredentials，我会看到消息级别和传输级别的加密吗？

Answer 1

TransportWithMessageCredentials 是一种加密/安全选项，当您的 WCF Web 服务框前面有负载平衡器或反向代理时，它会执行 SSL/HTTPS 加密工作。

在“正常”情况下，您的 WCF Web 服务框位于逻辑 DMZ 内，WCF 主机的加密和客户端身份验证检查在一个步骤中完成，“裸”请求内容（未加密且没有客户端身份验证凭据）由您的服务处理。

但是，如果您使用负载平衡器或反向代理来执行加密（出于多种原因，这是一个好主意），则使用“正常”传输加密会向您的 WCF Web 服务发送一条消息，而无需客户端身份验证凭据。

TransportWithMessageCredentials 所做的就是在邮件正文中保留客户端身份验证凭据，以便在 RP/LB 解密您的邮件后，您的 WCF Web 服务可以在第二步中处理您的客户端身份验证请求。

关注？基本上，如果您使用 F5 负载平衡器或某些反向代理在 WCF Web 服务处理您的消息之前对其进行加密/解密，则需要 TransportWithMessageCredentials。无需负载均衡器或反向代理，无需 TransportWithMessageCredentials。

希望这可以澄清事情。