首先,抱歉这个虚拟问题。在互联网上找不到任何直接答案
我是WCF的新手(并且一般使用服务),并希望获得有关我的安全问题的一些信息
假设我有一个在.Net下编写的开源Web应用程序,该应用程序具有WCF服务,可以通过ajaxified方法更改站点用户的配置文件数据。 (例如,当用户更改其位置时,将从客户端调用我的某个服务方法,该方法负责更新数据库中的用户数据。)
现在,我不明白的是,由于我的网络应用程序是开源的,所以每个人都可以看到该服务公开的方法。是否有人可以在他们的应用程序中调用这些方法,或以某种方式使用他们的自定义值篡改数据?如果是这样,我应该采取哪些安全措施,以便仅我的应用程序可以调用我的服务方法?
答案 0 :(得分:0)
使用数字证书,您可以保护您的WCF Web服务,以便只有您可以使用它。数字证书用于识别,验证和授权用户。
有关使用数字证书的更多信息,请参阅此文章:http://msdn.microsoft.com/en-us/library/ms731899.aspx
答案 1 :(得分:0)
您的应用程序是开源的这一事实不应该使其本身不太安全。打开或关闭,您仍然必须确保只有经过身份验证的用户才能访问私人数据。即使您可以将应用程序作为Web服务的唯一用户,也没有什么可以阻止未经授权的用户在粗心用户的桌面上访问您的应用程序。您可以做的最好的事情是确保您的Web服务公开的数据只能根据您的安全策略进行访问。例如,您无法阻止用户将密码和用户ID粘贴到键盘上。
有一个whole bunch of WCF security scenarios here应该澄清如何解决您的特定问题 - 最佳解决方案取决于您应用的环境。