WCF傳輸層安全問題

Question

我不明白爲什麼wcf傳輸層安全限制了用戶名/密碼認證。
好吧，wcf消息安全模型中的消息加密發生在TCP/IP應用層，我的意思是使用算法直接對用戶名/密碼進行加密，並使用證書密鑰進行解密，並且如果有人使用中間人atack嗅探數據包，如果它沒有解密用戶憑證的密鑰，則其失敗。
但是，傳輸層安全的弱點在於它限制了用戶名/密碼認證嗎？
有人可以讓一個人在中間的攻擊中看到消息中的用戶憑證在傳輸級別的安全性嗎？

Answer 1

這不是WCF的限制。它更像TCP限制。 TCP傳輸安全完成或者：

• 到哪裏證書用於SSL流建立信任的安全連接
• 通過其中Windows安全用於建立信任的安全連接

用戶名和Windows流密碼本身不提供任何東西來創建這些流。如果您需要通過與傳輸安全性的連接傳遞用戶名和密碼，那麼的確可以，但您必須使用TransportWithMessageCredential安全模式！您將在SOAP標頭中使用證書和用戶名和密碼保護傳輸層。