[我知道这是非常主观的,并且取决于各种考虑因素,所以我只是想完成一些想法,看看人们对这个主题的看法,以及他们正在考虑的因素......)
我们公开公开了一个asp.net应用程序(需要用户名/密码验证),而后者又使用了一组WCF服务。
我正在尝试确定哪些绑定用于这些服务,更具体地说 - 我们应该使用哪些安全元素(如果有的话)。
所有应用程序(Web前端和所有服务)都驻留在防火墙后面的同一服务器场上,该服务器场阻止除Web应用程序之外的所有服务访问。 在这种情况下 - 你会说它没有任何安全要素是可以接受的(因此,可能会提高性能吗?)
为了完整性我会说我们确实希望在某些时候从外部公开某些服务,但这将通过不同的端点,使用不同的地址,使用高安全性元素(包括用于身份验证的联合身份)来完成
答案 0 :(得分:1)
安全就像一堵墙。墙越多越好。
这就是为什么我们拥有内部但可从Web应用程序访问的数据库的安全密码,以及我们为何加密这些数据库中的敏感数据。
如果安全性不是一个主要的痛苦,请添加它。
答案 1 :(得分:0)
您应该像使用摘要身份验证等那样使您的服务用户名和密码受到保护。将提供的用户名和密码将在您的应用程序内部。因此,您增加了一个安全层。