我正在构建一个WCF服务,需要进行安全保护,因为客户端与服务之间交换的信息对公司非常重要。我计划将其托管在IIS6上。如何最好地确保除客户端应用程序外没有其他人可以调用服务来获取/设置数据?
服务调用需要在用户的真实身份下进行,因为所有调用都必须被监视和审计。我计划使用PolicyInjection来审计调用。
服务调用需要在用户的真实身份下进行,因为所有调用都必须被监视和审计。我计划使用PolicyInjection来审计调用。
一切都取决于情况。
但基本上有两种主要方法:
如果您提供更多信息,我应该能够更好地帮助您。
有关安全性的某些方面:
1)数据完整性:没有人篡改数据,但数据本身不是机密。这是通过签名实现的。
2)数据安全:这样就没有人可以看到敏感/机密信息。这是通过加密实现的。
3)身份验证:这是通过发送用户名/密码或使用证书实现的。这确保了声称的人是同一个人。
4)授权:这是为了确保该人员可以访问服务中的特定功能。