基本上我有一个web应用程序和带有usernamepassword验证器的Wcf服务,使用WSHttpBinding使用消息安全性。验证服务客户端后,我将客户端存储在Session中,以访问服务端的所有其他Web方法。
这种方法是否正确?或者我应该使用安全令牌服务?
请告诉我。
由于
答案 0 :(得分:0)
这是一种可行的方法,也是我们广泛使用的方法,但在使用时应该非常小心。
我们总是在客户端应用中加密我们的密码并在WCF服务中解密,或者更好的是,如果我们控制密码存储,即使通过HTTPS进行通信,也要与用户以前加密的密码进行比较。