我不明白为什么wcf传输层安全性会限制用户名/密码身份验证。
好的,wcf消息安全模型的消息加密发生在TCP / IP应用层,我的意思是它使用算法直接加密用户名/密码,并使用证书密钥解密,如果有人使用man解析数据包中间atack,如果它没有解密用户凭据的密钥,则失败。
但是传输层安全性的弱点在于它限制了用户名/密码身份验证吗?
有人可以让中间人攻击并查看用户凭据在传输级安全性的消息中?
答案 0 :(得分:2)
不是WCF限制。它更像TCP限制。 TCP传输安全性完成:
用户名和密码本身不提供创建这些流的任何内容。如果您需要通过与传输安全性的连接传递用户名和密码,您确实可以,但您必须使用TransportWithMessageCredential安全模式!您将在SOAP标头中使用证书和用户名和密码保护传输层。