Silverlight 应用程序在没有 IIS 的情况下使用 WCF 进行身份验证

Question

我已经为此苦苦挣扎了几天，希望有人能提出一些解决方案。

我有一个自托管的 WCF 服务，该服务的主界面将是一个 Silverlight 应用程序，该应用程序托管在非 IIS、可能共享的环境中。

我知道 TransportWithMessageCredential 和自定义 authentication validator。唯一的要求似乎是主机具有 HTTPS 和有效的 SSL 证书。但是，产品将在某些环境中运行，他们不希望支付和维护证书的麻烦，或者共享环境不允许 SSL。

简单的答案是告诉他们寻找新的主机/管理员，但我被要求查看是否有任何其他可行的身份验证机制。

有什么建议吗？

谢谢

Answer 1

如果没有 SSL，您确实无法“通过网络”保护用户凭据。您“可以”在 Silverlight 应用程序中进行一些加密，但这实际上相当于混淆与“真正的”安全性。

在这种情况下，我能想到的唯一选择是适度安全的 3 因素解决方案，例如为所有用户提供 SecureID 密钥卡。

Answer 2

我们遇到了同样的问题。我们为创建自签名证书的 WCF 服务制作了安装程序，将其添加到系统证书存储并配置与 HTTPS 端口的绑定。 Silverlight 应用程序具有从 WCF 服务下载此证书的链接。因此，用户可以下载此证书并将其安装在受信任的根证书存储中。