我仍在努力更好地了解WCF安全性。
我似乎无法控制的一个问题是......如果使用消息级别安全性,则可以对整个消息进行签名/加密。如果是这种情况,使用消息级安全性和传输级安全性是否有意义?换句话说,如果消息本身是安全的,为什么我需要使用HTTPS等传输安全性?
感谢。
答案 0 :(得分:7)
HTTPS(SSL,TLS)提供点对点安全。我已经解释了我的一个previous answers中的含义。
WCF中的术语安全性有4个组成部分:
授权始终是WCF应用程序本身的一部分。身份验证是WCF应用程序或托管系统的一部分 - 传输协议只能用于传输凭据,而不能用于验证凭据。自信和完整性是传输协议(传输安全性)或WCF应用程序(消息安全性)的责任。因此,如果您在消息级别使用加密和签名,则不需要传输安全性。
答案 1 :(得分:0)
如果以加密的形式使用消息级安全性,则不需要也使用传输级加密。但是,这样做肯定会使您的信息更安全。如果您只使用邮件级安全性来签署外发邮件,那么如果您的邮件包含敏感信息,您还需要使用传输级安全性。
在未使用消息级加密时,使用传输级安全性非常重要。事实上,WCF要求您在使用UsernameToken明文时使用SSL,例如。
答案 2 :(得分:0)
据我记得,使用NetMsmqBinding时,只能使用传输和消息级安全性。