我一直在网上搜索如何以及是否可以验证调用的应用程序是否使用正确的证书进行数字签名。
这是供我公司内部使用的。我们希望对我们的应用程序进行数字签名,并且只允许我们的数字签名应用程序访问我们的wcf服务。这是iis或wcf应用程序的配置吗?怎么样?
由于 马里奥斯
答案 0 :(得分:0)
默认情况下,您无法在WCF中执行所需操作;它根本不会将汇编信息作为其任何安全协商的一部分传递。
您可以通过让程序反映其程序集并使用AssemblyName的PublicKeyToken并将其作为请求的一部分传递给服务来伪造它,但我不推荐它;你很容易受到重播攻击。任何拥有Reflector的人都可以随时找出如何使用您的服务。
最终,您最好在服务中构建某种凭据系统,并强制您的用户在使用您的服务时提供这些凭据。