WCF安全实现设计问题

作者: 布偶的表弟派大星丶
发布时间: 2024-08-22 12:24:14 (23天前)
转自：

4 条回复

0#
回复此人
不丶离 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 你没有实现你想要的 <a href="http://msdn.microsoft.com/en-us/library/ms733040.aspx" rel="nofollow"> 使用会话 </A> 在WCF？ </p> </DIV>

编辑
1#
回复此人
滔滔江水 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 2是一个合理的想法。它叫做Window Identity Framework。 </p> <P> 与您提出的建议的唯一真正区别在于，在联合安全模型中，您将身份验证与应用程序分开。在WIF中，您向发出令牌（您的GUID）的受信任机构进行身份验证。令牌内的加密是一组声明（允许的操作）。客户端将令牌作为其WCF调用的一部分传递，声明转移到安全原则，突然您的应用程序在没有任何WCF知识的情况下执行基于角色的安全性。 </p> <P> WIF的缺点是它很复杂并且可能需要相当多的加速时间。 </p> <P> WIF的优势在于它由安全专家编写。如果您实际构建的是处理金钱或敏感数据的商业应用程序，您应该仅仅因为这个原因使用WIF。 </p> <P> 这是个 <a href="http://msdn.microsoft.com/en-us/magazine/ee335707.aspx" rel="nofollow"> 旧文章 </A> 但这些想法很有动力。然后就是 <a href="http://msdn.microsoft.com/en-us/library/ee748475.aspx" rel="nofollow"> MSDN </A> 。 </p> </DIV>

编辑
2#
回复此人
咿呀哟 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 你使用guid的方法很好。看其他问题 <a href="https://stackoverflow.com/questions/829254/wcf-ticket-base-authentication"> WCF票证基础认证 </A> 和转介的帖子 </p> <P> <a href="http://blogs.microsoft.co.il/blogs/bursteg/archive/2006/04/23/141.aspx" rel="nofollow noreferrer"> WCF自定义消息标题 </A> </p> <P> 更新：方法比较。 </p> <P> 第一种方法的好处是无状态/无会话的个别操作。客户端和服务都不需要记住先前身份验证调用的详细信息。但是，如果同一个客户端进行多次呼叫，最好记住故障单，而不是每次都记住并发送用户名和密码。如果您担心重复调用数据库，可以缓存一段时间（例如30分钟）用户名和密码（或更好的哈希）并在进行数据库调用之前比较缓存字典中新请求的详细信息。 </p> <P> 第二种方法需要在客户端保持状态（即票证），因此有点复杂。但它更安全，因为您不需要在整个会话期间记住用户名和密码。对于您的方案，我更喜欢票务方法。 </p> <P> 顺便说一句，登录后我仍然建议使用https（通常性能损失不是必需的）但它会阻止网络嗅探器窃取故障单并使用它来做一些恶意操作而不是用户。 </p> </DIV>

编辑

登录后才能参与评论