WCF服务通过更改配置启用或禁用安全性

我有一个WCF服务应用程序，我只想通过更改配置来启用或禁用安全性。

我创建了两个basicHttpBinding元素，一个具有安全性，另一个没有安全性。根据我应用的绑定，我启用或禁用服务上的安全性。

这是我的配置：

  <system.serviceModel>
<bindings>
  <basicHttpBinding>
    <binding name="HostedBasicHttpBinding">
      <readerQuotas maxDepth="2147483647" maxStringContentLength="2147483647"
        maxArrayLength="2147483647" maxBytesPerRead="2147483647" maxNameTableCharCount="2147483647" />
    </binding>
    <binding name="SecuredBasicHttpBinding">
      <security mode="TransportWithMessageCredential">
        <transport clientCredentialType="None" />
        <message clientCredentialType="UserName" />
      </security>
    </binding>
  </basicHttpBinding>
</bindings>
<services>
  <service name="SecuredService.CustomerService" behaviorConfiguration="DefaultBehavior">
    <endpoint address="" binding="basicHttpBinding" contract="SecuredService.ICustomerService" bindingConfiguration="HostedBasicHttpBinding"/>
    <endpoint address="mex"  binding="mexHttpBinding" contract="IMetadataExchange"/>
  </service>
</services>
<behaviors>
  <serviceBehaviors>
    <behavior name="DefaultBehavior">
      <serviceMetadata httpGetEnabled="true"/>
      <serviceDebug includeExceptionDetailInFaults="true"/>
    </behavior>
    <behavior name="SecuredServiceBehavior">
      <serviceMetadata httpGetEnabled="true" httpsGetEnabled="true"/>
      <serviceDebug includeExceptionDetailInFaults="false"/>
      <serviceCredentials>
        <userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="SecuredService.CustomerClientValidator, SecuredService"/>
      </serviceCredentials>
      <serviceAuthorization serviceAuthorizationManagerType="SecuredService.CrmServiceAuthorizationManager, SecuredService"  principalPermissionMode="Custom">
        <authorizationPolicies>
          <add policyType="SecuredService.AuthorizationPolicy, SecuredService"/>
        </authorizationPolicies>
      </serviceAuthorization>
    </behavior>
  </serviceBehaviors>
</behaviors>
<protocolMapping>
    <add binding="basicHttpBinding" scheme="http" bindingConfiguration="HostedBasicHttpBinding" />
</protocolMapping>    
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />

在这里，当我应用绑定HostedBasicHttpBinding和行为DefaultBehavior时，我希望我的服务不启用任何身份验证或授权。当我应用SecuredBasicHttpBinding和SecuredServiceBehavior时，我希望我的服务应用所有配置的安全性（身份验证和授权）。

现在的问题是，即使当我应用HostedBasicHttpBinding和DefaultBehavior时，授权似乎也会起作用，并引发诸如"拒绝访问"之类的错误。

这是带有PrinciplePermission:的服务代码

    [PrincipalPermission(SecurityAction.Demand, Role = "Admin")]
    public void UploadEmployees(CustomerRequest request)
    {
        ProcessEmployees(request.PacketId, request.Employees);         
    }

当我在没有安全性的情况下应用配置绑定时，我如何禁用授权。我的要求是只通过配置来启用或禁用，而不是触摸代码。