WCF安全 - 新手問題 -

Question

我一直在閱讀關於WCF安全一整天，並不能說我很滿意它。

我已經開發了一些WCF服務，並將它們部署到測試服務器並可以從客戶端調用。雙方C＃/ VS 2010.這些服務託管在IIS 6下。目前無法選擇更近的時間。

所以 - 我讀過，我只能使用HTTP與IIS 6 - 我認爲限制我basicHttpBinding或wsHttpBinding作爲綁定。

我也讀過使用wsHttpBinding通過電線發送的XML被加密，而basicHttpBinding不是。

所以它看起來像我想用wsHttpBinding去，因爲我想要某種身份驗證，我想用戶名/密碼將與傳入消息一起傳遞。

第一個問題是 - 如果我使用wsHttpBinding，客戶端是否必須使用https調用？然後我需要擔心服務器上的證書等嗎？

第二個問題是 - 我有哪些安全選項？請求調用者必須是服務器上的Windows用戶，還是可以創建自己的用戶名/密碼，並讓服務和服務的這一部分進行驗證，並且與Windows用戶無關？如果我必須去Windows用戶，我想在服務器上設置一個用戶帳戶是很常見的，並讓所有的用戶都使用它？

基本思想是我需要打開此服務給選定的呼叫者，但不希望任何人都能夠發現服務並調用它。我需要以某種方式控制呼叫該服務的人。用戶名/密碼是這樣做的標準方式嗎？我能否定義一個GUID，例如哪些呼叫者必須通過？

Answer 1

回答你的第一個問題。 wsHttpBinding不需要需要 HTTPS。如果將SecurityMode設置爲消息或無，則可以使用HTTP。但是，由於您打算通過服務電話發送用戶名和密碼，因此絕對不應這樣做。如果你這樣做，那麼任何人都可以查看傳輸中的消息並閱讀用戶名和密碼，並且安全性完全受損。恐怕您必須獲得證書並使用HTTPS。這並不是那麼糟糕，網絡上有很多資源可以幫助你。

順便說一下，您可以使用basicHttpBinding和wsHttpBinding進行HTTPS。另外，你應該考慮使用REST來簡化。 WCF對它有很好的支持（webHttpBinding），更好地支持Web API。

在回答第二個問題時，您不需要呼叫者是服務器上的Windows用戶，並且可以使用用戶名和密碼。這被稱爲基本認證。再一次，網絡上有很多關於它的內容。開始here。

如果你這樣做，你顯然必須有一個數據庫來存儲用戶名和密碼，以便你可以驗證然後授予或拒絕訪問你的服務。用WCF實現這個最簡單的方法是使用默認的membership providers之一。