我們目前使用WIF來保護我們的應用程序和後端服務。我試圖確定在我們的解決方案中是否真的需要WIF,或者如果它只是一個額外的層,會消耗資源而沒有提供任何好處。WIF提供哪些安全優勢?
我們目前的應用程序被分成2個獨立的Web應用程序,客戶端和管理員和幾個WCF服務。身份不在兩個應用程序之間共享(您對管理員和客戶端擁有不同的憑據)。身份只能在客戶端和WCF服務之間共享。這發生在機器之間,但絕不會跨越網絡或企業界限。
我們使用第三方來進行認證,但是第三方不使用身份提供商。該功能在應用程序內部執行。
我們目前還沒有的未來計劃到其他應用程序或服務之間共享的身份,或使用第三方身份提供等
鑑於我們的應用程序的安裝方式,我們真的使用WIF很大益處作爲保護我們後端服務的額外手段?如果WIF被移除,我們輸了什麼?
如果你刪除WIF,你將不得不用來代替。除非你決定你根本不需要用戶認證和授權。請記住,除了身份驗證之外,WIF還會爲您提供基於聲明的授權模型。
WIF的另一個好處是,它成爲保護應用程序,這意味着當你在未來帶來新的開發者,他們很可能會熟悉你的安全模型的一個衆所周知的標準方法。這是一個很大的好處。將其與您不得不培訓新開發人員的自定義安全模型進行比較。
此外,WIF是一種成熟的技術與知名的安全利益。如果您按照建議實施WIF,您的應用程序就會受到保護。其他模型並不一定如此,特別是定製設計的安全模型。
此外,你說你目前沒有未來計劃使用WIF的更高級的功能。目前沒有計劃,也從來沒有這樣做過,這是很大的區別。通過您當前的WIF實施,如果計劃在未來發生變化,您可以靈活地添加這些內容。如果你用別的東西代替WIF,你就放棄了這種靈活性。或者至少讓它變得更加困難。
要不是我的項目,我會問的第一個問題是:
如果你有一些工作,並且不會妨礙你改進你的應用程序的能力,那麼你花費在這一塊上的任何時間都是以其他功能爲代價的。
如果我基地僅在3個quetions我的決定,我不得不說,是的,它的工作原理,如果你不要指望一些變化,我們需要做。 – 2013-02-15 20:28:12