WCF 传输和消息级别安全性

Question

我是 wcf 的新手，正在寻求基本帮助。我听说在 wcf 中可以提供两个级别的安全性。那是transport & message level.

我想知道传输级安全性和消息级安全性是什么意思。传输级安全性和消息级安全性之间有什么区别以及何时首选哪一个。

我如何理解在哪个级别提供的安全性？

我有两个配置条目

<bindings>
    <wsHttpBinding>
        <binding name="TransportSecurity">
            <security mode="Transport">
                <transport clientCredentialType="None"/>
            </security>
        </binding>
    </wsHttpBinding>
</bindings>

<bindings>
<wsHttpBinding>
<binding name="wsHttpEndpointBinding">
<security>
<message clientCredentialType="Certificate" />
</security>
</binding>
</wsHttpBinding>
</bindings>

看看上面两个config xml，告诉我为什么没有像message这样使用的词，但是有一个叫做transport的词？

有时模式用于安全标签，有时什么都没有用于安全标签。模式可以是消息而不是传输？

请帮忙讨论。谢谢

Answer 1

在 WCF 中，您介绍的两种安全模型影响两种不同的东西，您可以保护传输（tcp 或 http）或消息（协议）。

传输安全性取决于所选的绑定，但在 wsHttpBinding 的情况下，您可以使用 SSL 来保护您的传输。传输安全提供有限的身份验证选择，例如基本、证书、摘要、窗口和 ntlm，但还有更多，它们完全取决于传输。

另一方面，消息安全性让您能够实现完整的端到端安全性（具有传输安全性），增加了灵活性，例如仅保护消息的一部分，它支持多种传输以及各种凭据和声明。

还有第三种类型的安全模式，称为 TransportWithMessageCredential，它结合了两者。

运输安全具有以下优势：

• 不要求通信双方理解 XML 级别 安全概念。这可以提高互操作性，因为 例如，当使用 HTTPS 来保护通信时。
• 总体上提高了性能。
• 提供硬件加速器。
• 可以进行流式传输。

运输安全有以下缺点：

• 仅限跳到跳。
• 有限且不可扩展的凭据集。
• 依赖于传输。

邮件安全有以下缺点：

• 性能
• 无法使用消息流。
• 需要实现 XML 级别的安全机制和支持 用于 WS-Security 规范。这可能会影响 互操作性。

我的建议是让您访问Developer Network security section for WCF

那里有很多例子，网上也有很多帮助。

如果您需要更多详细信息，请告诉我们。