为了论证,我们说我有一个basicHttp WCF服务。除了实现身份验证(登录/注销方法)之外,是什么阻止某人破解开放的Visual Studio,为我的网站服务添加Web引用,然后玩我的服务?我不熟悉阻止某人做这件事的方法。有人下载我的所有数据/操作合同然后开始玩的想法让我夜不能寐,我喜欢睡觉!
答案 0 :(得分:4)
可发现性是Web服务背后的 驱动因素,尤其是SOA。任何能够访问该服务的人都能够获取WSDL,在Visual Studio(或其他工具)中生成代理,并开始使用该服务,这是创建Web服务的主要原因之一!
我想你可以生成所有的客户端代理,然后禁用mex端点,但这几乎使WCF陷入瘫痪,即便如此,它只是通过默默无闻的安全性。
如果您不希望任何不法分子开始点击您的网络服务,那么要么不使用basicHttpBinding(专为直接和匿名消费的明确目的而设计),要么将服务托管在私人网站上只有受信任的客户才能访问的网络。
答案 1 :(得分:1)
某种形式的身份验证或加密是唯一可以阻止这种情况的方法。您必须区分您想要访问的那些和您不能访问的那些。给那些您想要访问加密所需证书的用户或用户名和密码。
不要给别人任何东西。