我正在构建一个WCF服务,需要进行安全保护,因为客户端与服务之间交换的信息对公司非常重要。我计划将其托管在IIS6上。如何最好地确保除客户端应用程序外没有其他人可以调用服务来获取/设置数据?
服务调用需要在用户的真实身份下进行,因为所有调用都必须被监视和审计。我计划使用PolicyInjection来审计调用。
服务调用需要在用户的真实身份下进行,因为所有调用都必须被监视和审计。我计划使用PolicyInjection来审计调用。
1个回答
4
一切都取决于情况。
但基本上有两种主要方法:
- 使用basicHttpBinding的SSL传输安全
- 使用wsHttpBinding的SSL安全
如果您提供更多信息,我应该能够更好地帮助您。
有关安全性的某些方面:
1)数据完整性:没有人篡改数据,但数据本身不是机密。这是通过签名实现的。
2)数据安全:这样就没有人可以看到敏感/机密信息。这是通过加密实现的。
3)身份验证:这是通过发送用户名/密码或使用证书实现的。这确保了声称的人是同一个人。
4)授权:这是为了确保该人员可以访问服务中的特定功能。
- Aliostad
2
好的,服务调用需要在用户的真实身份下进行,因为所有的调用都必须被监视和审计。所以我需要模拟对服务的调用,并验证该调用是在该用户ID下执行的。 - dexter
请更新您的问题。此外,您不需要冒充,只需要进行身份验证/授权即可。 - Aliostad
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接