我正在围绕WCF和安全问题进行讨论,所以我只想在这里提出一系列问题,希望有人能帮助我获得清晰的图片。
有人可以给我一个关于传输与消息级安全性的简单英文解释。
我认为我有一个在SSL下运行的服务,它将根据用户的Windows凭据对用户进行身份验证。我也认为我了解如何通过PrincipalPermission限制对服务方法的访问。但是我如何实际检索当前的IPrinciple,所以我可以根据谁调用该服务返回不同的结果?
我已经想出了如何开启跟踪,我可以使用“Microsoft服务跟踪日志查看器”查看我的跟踪日志,但如果我能弄清楚我正在显示什么,那就太糟糕了。有没有一个合适的资源解释如何使用这个东西?
使用“证书”clientCredentialType时,这与SSL有什么不同?
使用“Windows”clientCredentialType时,如何查看正在通过的Windows用户?
我的要求意味着我必须使用basicHttpBindings - 我在假设中是否正确:
我知道这些问题可能看起来很愚蠢,但任何有关澄清的帮助都会有所帮助。
编辑:
编辑:
除了上述问题,我想知道是否可以通过检查Active Directory来验证基于Windows用户的Windows移动设备。对于迄今为止我发现的所有内容,似乎不太可能。
N.B。对于那些不知道Windows CE版本的WCF可用的人:仅限传输级别安全性,以及客户端凭据类型的无/证书。因此,CE的WCF似乎默认不允许这样做,但是我可以安全地在消息中发送这些信息(通过方法签名),这是否是发送此类信息的可接受方式?
答案 0 :(得分:15)
我不知道所有答案,但这里是我知道的答案
这些问题当然不是愚蠢的。
P.S。我可以推荐Juval Lowy的书programming WCF services,它非常深入,并附带了一个非常有用的框架,可以扩展WCF /简化某些事情。
答案 1 :(得分:4)
结帐WCF Security Guidance。如果您需要更多信息,您应该能够在那里找到所有信息,它非常完整。虽然看起来@olle给出了一个非常完整的答案......
答案 2 :(得分:0)