Нужна ли мне безопасность между моим приложением ASP.net и службой WCF?

Question

[Я знаю, что это весьма субъективно и зависит от различных соображений, поэтому я просто заканчиваю выдумывать идеи, чтобы узнать, что люди думают по этому поводу и какие соображения они принимают...]

У нас есть общедоступное приложение asp.net (требуется аутентификация по имени пользователя и паролю), которое, в свою очередь, использует набор служб WCF сзади.

Я пытаюсь решить, какую привязку использовать для этих сервисов, а точнее — какие элементы безопасности, если таковые имеются, нам следует использовать.

все приложения (веб-интерфейс и все службы) находятся на одной ферме серверов за брандмауэром, который блокирует любой доступ к службам, кроме веб-приложения.В этих обстоятельствах - могли бы вы сказать, что приемлемо не иметь каких-либо элементов безопасности (и, предположительно, повысить производительность?)

Для полноты картины я бы сказал, что мы ожидаем в какой-то момент предоставить некоторые службы извне, но это будет сделано через другую конечную точку, с другим адресом, с использованием элементов высокого уровня безопасности, включая федеративную идентификацию для аутентификации.

Answer 1

Безопасность как стена.Чем больше стен, тем лучше.

Вот почему у нас есть надежные пароли для баз данных, которые являются внутренними, но доступны из веб-приложений, и почему мы шифруем конфиденциальные данные в этих базах данных.

Если безопасность не будет большой проблемой, добавьте ее.

Answer 2

Вы должны сделать свои службы защищенными именем пользователя и паролем, например, используя дайджест-аутентификацию и т. д.Имя пользователя и пароль, которые будут предоставлены, будут внутри вашего приложения.Таким образом вы повышаете уровень безопасности.