WCF安全-一个名单是我不明白

StackOverflow https://stackoverflow.com/questions/456109

我在绕圈子有关WCF与安全,所以我只是要推载的问题在这里并希望有人可以帮助我获得一个清晰的画面。

  1. 有人可以请给我一个简单的英语解释的运输vs消息水平的安全。

  2. 想想 我有一个运行的服务SSL下,这将验证用户根据他们的窗户证书。我还 想想 我懂得如何限制访问的服务方法通过PrincipalPermission.但我怎么实际检索当前IPrinciple,所以我可以回归不同的结果依赖谁的电话服务?

  3. 我们想出如何把追踪和我可以看到我的跟踪记录使用"微软服务的跟踪记录观察者"但是,虐待被诅咒,如果我可以想出什么Im正在显示出来。是否有一个体面的资源,说明如何使用这东西?

  4. 当使用的"证书"clientCredentialType,这是干不同的SSL?

  5. 当使用的"Windows"clientCredentialType我怎么能看到什么窗户正在通过?

  6. 我的要求意味着我必须要使用basicHttpBindings-我正在假设:

    • 我只有运输级的安全提供给我?
    • 我不能实现自定义用户名/密码对于这一具有约束力?

我知道这些问题可能看起来很愚蠢,但任何帮助澄清将真正帮助。

编辑:

  1. 我怎么可以添加自定义的肥皂头到我的服务在一个类似的庄园。asmx服务?这是一个有效的做法?

编辑:

进一步对上述问题,我想知道是否可以认证一个窗移动设备根据其windows用户通过检查对活动的目录。对于所有我们发现迄今为止似乎不可能的。

N.B。对于那些不知道什么是适用于windows CE版的WCF其:输送水平的安全只,或者没有证书的客户凭证的类型。因此它似乎CE的WCF不会允许这种通过默认,但是我可以安全地发送这种信息(通过的方法的签名)并将这是一个可接受的方式发送这样的信息?

有帮助吗?

解决方案

我不知道所有答案,但这里是我不知道

  1. 运输安全意味着通信进行加密,同时消息被输送,因此它不能读取和或篡改。信息安全意味着消息的内容本身是加密传输但并不一定。信息安全可以为实例是使用HTTP而运输的安全将需要采用HTTPS(或其他绑定).
  2. IPrincipal主要=线。CurrentPrincipal;
  3. 没有答案
  4. 是的,虽然SSL本身使用证书这是不一样的。你可以有客户发送一个证书,这是众所周知的服务或其签署的信任的机构的服务知道谁客户和是否允许他们作出的呼叫。使用SSL只会确保第三方不能读取之间通信的客户和服务通过截获的网络软件包。
  5. IPrincipal主要=线。CurrentPrincipal;校长。身份。名称;
  6. 没有。
    • 你有没有、运输、信息和混合安全作为你的选择但是运输安全将需要调用终端使用HTTPS因为这就是有担保的协议版本
    • 编辑:检查出来的讨论 这个论坛.

和问题当然不是愚蠢的。

P.S.我可以推荐这本书 编程服务WCF 通过Juval洛伊这是真正深入和带来一个真正有用的框架延伸WCF/简化了某些事情。

其他提示

检查了 WCF安全指南.如果你需要更多的信息,就应该能够找到这一切的有,其相当完整的。虽然它看起来像@欧莱给了一个相当完整的回答。...

还要检查这些 WCF共同的安全情况

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top