WCF 会信任来自不受信任域的凭据吗？答案

【问题标题】：Will WCF trust credential from an untrusted domain?WCF 会信任来自不受信任域的凭据吗？
【发布时间】：2011-08-17 01:18:43
【问题描述】：

我们在托管 IIS 网站的 DMZ 中有一个网络服务器。该网站与托管 WCF 服务的私有域中的中间件机器进行通信。

当网络服务器尝试通过 TCP 绑定与中间件机器通信时，我们会收到以下错误消息，

服务器已拒绝客户端凭据。登录尝试失败了。

该网站使用来自私有域的 AppPool 帐户（DMZ 信任私有域）。表单和匿名身份验证已启用。

我的问题是，中间件服务器是否能够验证有效凭据（希望是 appPool 凭据），即使它们来自不受信任的域 (dmz)？？

【问题讨论】：

据我所知，WCF 服务需要能够验证凭据，因此如果您使用的是 Windows 凭据，这些凭据必须来自 WCF 服务可访问的域;运行 WCF 服务的计算机所属的域，或完全受信任的其他 AD 域。

【解决方案1】：

@marc_s 在他的评论中是正确的。不过，这不仅仅是 WCF 的事情。总的来说是安全的。

从概念的角度来看：“验证有效凭据”并不是正在发生的事情。中间件服务获取凭据。那么问题是这些凭据是否有效。为了确定有效性，它需要知道它或要求它信任的东西为他验证它。询问不受信任的一方是行不通的，因为您无法确定您得到的答案是否有效。在您的情况下，没有地方可以确定传递的凭据是有效的还是只是一个随机令牌。

如果您想允许未经验证的凭据通过，您应该真正删除身份验证/授权。

【讨论】：