2012-12-20 54 views
4

我們正準備通過API公開大量的WCF服務,我們希望所有服務都具有通用的認證/授權。散列WCF服務API

我們正在考慮對每個請求都要求散列值(可能是用戶名和密碼),但我不確定這是否是最佳實踐方式,或者甚至是正確的方式。另外,如果不是,那麼是什麼?如果是,那麼獨立於算法的語言將支持哈希算法。我們的目標是不限於任何特定的語言。

回答

0

我和我的一家初創公司有同樣的問題,我們還想避免使用SSL,因此我們決定加密所有流量併爲我們的客戶提供私鑰。這就是說,我們發現了跨平臺加密很難的難題。事實上,我們最終發現唯一合適的選擇是由一家名爲Chilkat的公司(http://www.chilkatsoft.com/)。

我們經歷的其他選擇都在Windows和非Windows環境之間進行時遇到問題。奇爾卡特工作得非常好,但要小心使用的加密算法,並注意如果您希望通過ASCII使用UTF-8,則需要更改其某些設置。

我們最終還通過提供詢問公司名稱,電子郵件地址和聯繫人姓名的服務來自動化私鑰部分,然後我們使用這些服務自動生成並向用戶發送用戶級私鑰。然後,他們使用我們提供的.NET或Java庫對其進行加密。