我已阅读此帖How can I use WCF with only basichttpbinding, SSL and Basic Authentication in IIS? 如果我将clientCredentialType设置为“Basic”似乎工作正常,但是当我将clientCredentialType设置为“Windows”时,匿名用户可以访问我的服务。
有人可以对此有所了解吗?如何禁用匿名用户。我已经在ISS 7.5中禁用了它。基本身份验证和Windows身份验证有什么区别?
更新 当我将clientCredentialType设置为“Windows”并且我使用登录窗口浏览到我的服务URL https://ServerName/myservice.svc,I时,我只能输入OK而不输入用户名和密码,我仍然可以看到服务信息页面。但是,如果我在虚拟目录上创建一个a.html页面,那么我必须输入用户名和密码。否则我看不到页面。
答案 0 :(得分:0)
基本身份验证使用任意用户名和密码。 Windows身份验证发送当前登录用户的凭据(假设用户正在运行Windows),并且仅在客户端和服务器位于同一域时才真正有用。
通过互联网发送Windows登录信息是一个潜在的安全问题也是值得的,firefox和更新版本的IE将不会发送凭据,除非明确告知(FF的配置设置,将网站移动到IE的“可信”区域)