我有一个应用程序,其结构如下: Web应用程序 - WCF服务 - 数据库
所有与数据库之间的通信都通过WCF服务,Web应用程序无法直接与数据库通信。我需要在数据传输时保护数据,因此我在本地计算机上设置SSL以在IIS中测试和配置它,因此现在必须使用HTTPS来命中WCF服务。但是,我没有设置我的Web应用程序来使用HTTPS,这样可以吗?我认为既然WCF服务正在进行所有数据传输,那么它就是唯一需要HTTPS的服务。
感谢。
答案 0 :(得分:1)
如果您对加密数据感兴趣,则需要确保在应用程序的所有层上对其进行加密。从您的描述中看来,从用户传递到WebApplication本身的数据似乎是未加密的,因此以明文形式传递。这意味着任何“监听”用户和Web应用程序之间流量的人都可以拦截数据。
我建议在Web应用程序中添加SSL,以确保您的数据通过应用程序的所有3层加密传递。