注册
登录
内网安全
WCF内部网安全配置
返回
WCF内部网安全配置
作者:
春风助手
发布时间:
2024-09-11 12:38:06 (10天前)
<p>我们有一些应用程序(Web和WPF)调用WCF服务来访问数据。我们没有使用Windows身份验证。登录Web应用程序或WPF桌面应用程序时,提示用户输入用户名和密码。数据不是高度机密的(即没有信用卡,SSN等)。</p><p>我们想对WCF端点使用BasicHttpBinding。但是,我们希望将用户名和密码传递给WCF服务,以便我们可以根据用户限制对某些数据的访问。</p><p>我的问题是,由于我们100%处于Intranet环境中,是否有必要在SOAP消息的标头中简单地传递用户的用户名和密码,以便我们可以在WCF端对用户进行身份验证?这似乎是一种非常普遍的情况,我很好奇,当所有应用程序和服务都位于Intranet环境中时,其他人如何解决WCF方面的安全问题。</p><p>谢谢。</p>
收藏
举报
2 条回复
1#
回复此人
只怕再见是故人
|
2020-07-31 11-53
这似乎是一件容易的事,但实际上这很困难,因为WCF团队已经做出决定,不允许在不安全的通道上发送纯文本用户名令牌。您始终可以在自定义SOAP标头中发送用户名和密码,但在这种情况下,您将失去WCF安全基础结构,并且必须注入自己的密码验证行为,等等。 如果您确实需要纯文本用户名令牌,则应检查此绑定。 编辑:顺便说一句。请记住,大多数安全攻击来自内部人员,因此使用HTTPS的决定还不错,它将使事情变得更加轻松
编辑
登录
后才能参与评论
