WCF安全-Https和匿名身份验证
本文关键字:身份验证 安全 -Https WCF | 更新日期: 2023-09-27 18:21:09
我们有一个服务当前正在使用basicHttpBinding。我们可以灵活地将其转换为netTCPBinding。在IIS 7中部署它时,我们使用匿名身份验证。该服务由同一网络中IIS中托管的网站访问。
我们的客户对匿名身份验证表示担忧,他不希望(办公室网络中)不想要的用户使用它。关键是人们可以创建自己的示例网站并使用该服务。
假设我使用传输凭据类型作为"证书",它会满足我的要求吗?也就是说,只有拥有客户端证书的用户才能访问该服务?你能给我介绍一下如何实施它的文章吗?
<endpoint address=""
binding="basicHttpBinding"
我提到了以下内容http://msdn.microsoft.com/en-us/library/ms731092.aspx
注意:IIS中的消费网站使用Windows身份验证:已启用,ASP.NET模拟:已启用
感谢
我的建议是转换到netTCP并使用证书身份验证。仅与访问web服务的网站共享证书。以下链接将帮助您在WCF 中实现证书安全
http://www.codeproject.com/Articles/36683/9-simple-steps-to-enable-X-509-certificates-on-WCF
最简单的解决方案可以是使用Http Headers,并在客户端发出请求时在标头中放入一些auth密钥。在服务器上,检查身份验证密钥的请求标头。如果找不到密钥,请对服务进行故障诊断。查看这篇文章,它解释了如何在创建服务代理时添加头。
建议
您可以删除元数据端点(mex),将httpGetEnabled设置为false,这样就没有人能够创建服务的代理。
希望这对你有帮助。