我被要求调查WCF安全性和身份验证,以便构建一组适合我们业务应用程序的Web服务。
目前我们的应用程序是用ASP.NET编写的,其中包含许多用C#编写的后端代码,以及一些依赖于表单身份验证的WCF服务。不幸的是,随着时间的推移,代码库变得非常特殊,因此没有真正的逻辑分离/分层。
在宏观方案中,我们需要一个带有数据访问层,业务逻辑层,数据传输层(WCF)和各种表示层(ASP.NET网站将成为其中一个)的结构化应用程序。
我被告知,将来我们也可能支持使用Windows窗体,WPF,控制台应用程序编写的表示层,甚至还有一些用Java编写的表示层(适用于Linux和Mac用户)。
我对WCF比较陌生。我理解它的基本原理,但是当涉及到身份验证/安全性时,我绝对不是专家!
我知道WCF中有许多不同的身份验证/安全策略;鉴于各种演示平台,我正在寻找最合适的。因此,考虑到使用ASP.NET,Windows窗体,WPF,Java作为各种表示层的场景,WCF服务中的身份验证和安全性的最佳策略是什么?
答案 0 :(得分:1)
最适合您的策略取决于您的安全要求。换句话说,没有适用于所有解决方案的最佳策略。
我建议你看看WCF Security Guide。它将帮助您快速了解WCF中的安全基础知识。它还有常见的Intranet和Internet场景部分,每个部分都有说明性指导。根据您在此提供的一些信息,我认为您会发现其中一种情况符合您的需求。该指南很旧,但仍然非常相关。
稍后,您可能希望了解迁移到基于声明的安全模型的好处。这是一个很大的话题,所以我只想指出this guide以供将来参考。