我已经阅读了很多这方面的主题,但我必须100%确定我的方案正朝着正确的方向前进。
我想要做的主要事情是将WCF服务(.NET 4.5)锁定到单个Web应用程序(可能在未来更多)。
所以,
Web应用程序(通过.NET成员身份登录) - > WCF服务 - >数据层 - >数据库
WCF服务不应允许通过除Web应用程序之外的任何地方进行访问。
实现这一目标的最佳方法是什么?我已经阅读了有关WCF服务的用户名/密码验证,但很明显,一旦用户登录Web应用程序,您就不会将密码存储在Session对象中,所以这对我来说没有多大意义。使用证书和WCF服务的唯一方法是在被调用时检查Web应用程序是否具有该证书?
非常感谢任何有关拉面条款的帮助,我觉得我陷入了WCF安全噩梦。
答案 0 :(得分:2)
您必须提供某种凭据。证书是一种可能性;另一种方法是在后端WCF服务中使用Windows身份验证,并且只允许访问承载Web应用程序的应用程序池的服务帐户。
答案 1 :(得分:0)
您需要通过请求凭据来验证Web应用程序,以便您的WCF服务是安全的。