场景是我们有一个WCF服务,它使用我们构建的内部Web服务的方法。
WCF服务非常轻量级。
我们希望保护此WCF服务,以便只有某些客户端可以使用它(它当前位于面向公众的服务器上)。
我们无法在这个面向公众的服务器上安装证书,因此我们想知道要使用的最佳安全模型。
理想情况下,可以通过某种方式对其进行配置,以便客户端使用WCF服务简单地“传递”到内部Web服务的证书,因为这是在我们控制的服务器上,然后进行证书身份验证。< / p>
这可能吗??如果没有,我们可以使用任何其他安全选项..?
提前致谢。
答案 0 :(得分:1)
使用邮件头并检查其中的客户端凭据的工作。也就是说,你可以在消息头中传递用户名和密码,在wcf服务上检查它是否正常处理请求,否则丢弃它。
答案 1 :(得分:0)
我认为你必须详细说明自己的自定义安全模型。
要解决的主要问题是如何在您和客户之间共享“密钥”。 您无法安装证书,因此您必须将密钥存储在其他位置,例如在部分内部的web.config ...并以安全的方式将其分发给客户端。
您可以使用此密钥对邮件进行签名或加密;您还可以使用密码加密的标准架构。
还要检查是否可以使用某些WS-Security功能!!!
此外,还检查.Net Framework提供的绑定身份验证和保护模式。