Silverlight應用程序使用無IIS的WCF進行身份驗證

Question

我一直在爲此奮鬥了幾天，希望有人能提出一些解決方案。

我有一個自託管的WCF服務，該服務的主要接口將是一個託管在非IIS，可能共享的環境中的Silverlight應用程序。

我知道TransportWithMessageCredential和自定義authentication validator。唯一的要求似乎是主機具有HTTPS和有效的SSL證書。但是，產品在某些環境中不會付出和維護證書的麻煩，或共享環境不允許使用SSL。

簡單的答案是告訴他們找到一個新的主機/管理員，但我被問到是否有任何其他可能的身份驗證機制。

有什麼建議嗎？

感謝

Answer 1

沒有SSL確實沒有任何方法可以讓你以確保用戶憑據「跨線」。你「可以」在Silverlight應用程序中做一些加密，但這實際上相當於混淆與「真實」的安全性。

在這種情況下，我能想到的唯一選擇是適度安全的，這是一個3因素解決方案，例如爲所有用戶提供SecureID密鑰。

Answer 2

我們遇到了同樣的問題。我們爲創建自簽名證書的WCF服務創建了安裝程序，並將其添加到系統證書庫並使用HTTPS端口配置綁定。 Silverlight應用程序有一個從WCF服務下載此證書的鏈接。因此，用戶可以下載此證書並將其安裝在受信任的根證書存儲區中。