【发布时间】:2011-08-12 15:08:38
【问题描述】:
我已经阅读了很多关于使用用户名和密码进行 WCF 身份验证的内容。我不知道何时使用 x509 证书?
如果使用用户名和密码,任何人都可以指导我在什么情况下使用 X509 的正确方向?
- 总是
- 取决于(在什么情况下?)
谢谢。
【问题讨论】:
标签: wcf wcf-security
【发布时间】:2011-08-12 15:08:38
【问题描述】:
通常总是。
X.509 证书确保通道安全 = 只有您的服务可以读取传入的用户名和密码(直到证书被盗)。
对于 WCF,您需要配置消息安全证书,因为传输安全证书 (HTTPS) 是在 WCF 之外的操作系统级别(通过 netsh.exe 或 IIS)配置的。
如果您不使用证书,您将没有安全通道,并且您的用户名和密码将以纯文本形式在网络中传播 - 任何将获得您传输的数据包的人都将能够使用被盗的用户名和密码。
默认情况下,WCF 不允许通过不安全的通道发送用户名和密码 - 您必须为此创建自定义绑定。
【讨论】:
-
感谢@Ladislav Mrnka,如果我们只使用HTTPS。它不会加密通过有线传输的用户名和密码吗?
-
另外@Ladislav Mrnka,您能否澄清这个“传输安全证书(HTTPS)是在操作系统级别的WCF之外配置的(通过netsh.exe或IIS)”。如果我们配置了 HTTPs,消息是否也得到保护?
-
如果您使用 HTTPS,则您已经拥有证书 - HTTPS 使用 SSL 证书。如果您使用 HTTPS,则消息是安全的。