没有SSL和证书的WCF wsHttpBinding安全性

时间:2011-02-18 15:15:07

标签: wcf security wshttpbinding

我想要一个可以通过互联网使用的安全WCF服务。轻量级方法很少,因此性能不是问题(消息大小)。我更喜欢端口80(web)用于防火墙问题,因此TCP绑定不是首选。在我的情况下,SSL也不是一个选项。

我研究wsHttpBinding时使用MessageLevel安全性是我的方案的最佳选择。我配置了服务,客户端可以成功接收数据。当我使用WcfTestClient.exe检查服务并调用服务时,我可以在此工具中看到SOAP消息XML。我的请求和回复是纯文本的,没有任何加密。

有一些在服务端使用证书的例子,以及客户端的用户名密码。我希望双方都能使用基于用户名/密码的安全性,但无法在网络上找到该示例。

有可能吗? (如果是,请提供链接)

由于

1 个答案:

答案 0 :(得分:3)

这是不可能的。如果您希望通过Internet进行邮件级别安全性(加密,签名,身份验证),则必须使用客户端的用户名和密码(提供客户端身份验证)和服务证书(对客户端的服务身份验证以及用于加密和签名的密钥交换)。