我需要我的ASP.net应用程序和WCF服务之间的安全性？

Question

[我知道这是相当主观的，并且依赖于各种因素，所以我刚刚完成的想法，看看别人怎么想关于这个问题，什么方面的考虑，他们正在...]

我们有一个asp.net应用公开曝光（所需的用户名/密码验证），这反过来，使用一组WCF服务在后面。

我试图决定哪结合使用这些服务，更具体 - 这安全要素，如果有的话，我们应该使用。

的所有应用程序（web前端和所有服务）驻留在相同的服务器农场，防火墙，其阻断所有访问比从该web应用程序以外的服务背后。 在这种情况下 - 你会说其接受不具有任何安全元素

（因此，据推测，有更高的性能？）

有关完整性我要说的是，我们不希望暴露的一些服务，在外部，在某些时候，但是这将通过不同的端点来完成，具有不同的地址，使用高安全性的元素，包括认证联合身份

Answer 1

安全就像一个壁。所述多个壁越好。

这就是为什么我们有安全的口令是内部的，但来自Web应用程序的访问的数据库，为什么我们这些数据库加密敏感数据。

如果安全性不会是一个重大的痛苦，添加它。

Answer 2

您应该让您的服务太的用户名和密码保护，就像使用摘要身份验证等，将提供内部会通过应用程序的用户名和密码。因此，你增加安全层。