Windows Azure 服务总线中的默认颁发者和默认密钥有什么用？是否需要保护密钥？

Question

我们创建了一个下载客户端服务模型应用程序，其中 WCF 服务托管在我们的一台服务器上，客户端应用程序分布在合作伙伴之间。 合作伙伴将获得唯一的 pin，他们可以使用该 pin 向 WCF 服务进行身份验证，并可以向 WCF 服务发出下载请求。

客户端通过 Windows Azure 服务总线连接到 WCF 服务，我们在其中创建了一个命名空间，客户端应用程序可以使用该命名空间连接到服务。 每个命名空间都有一个Default Issuer 和Default Key。当连接到服务总线时，我们在代码中嵌入了这个 Default 键。 有人告诉我需要保护密钥，并且您需要对应用程序进行签名以保护嵌入式密钥。这是真的吗？

我们真的需要保护这个密钥吗？ 如果是，那怎么办？有没有一种方法可以简单地在服务总线中提供身份验证，从他们的引脚识别客户端并只允许一组人访问服务总线命名空间？ 或者 我无用地担心这些问题？ :)

我们正在使用服务总线中继。 我一直在阅读有关 SAS 和 ACS 的信息，根据文档似乎继电器不支持 SAS。以下是链接： “将在不久的将来添加对服务总线中继的支持。” http://msdn.microsoft.com/en-us/library/windowsazure/dn170477.aspx

我无法理解如何使用 ACS 对客户端进行身份验证。 Windows Azure 文档中提供的信息对我来说都是保镖，无论我多么努力，我都无法将它们与任何东西联系起来。

如果有人对我的问题有任何信息，请帮助我提供适当的链接和指导。

谢谢！

编辑！！！ 我一直在对此进行搜索，以下链接提供了一种创建未经身份验证的客户端的方法： http://msdn.microsoft.com/en-us/library/microsoft.servicebus.nettcprelaybinding.aspx

通过在我的客户端 App.Config 中使用以下标记

<security relayClientAuthenticationType="None" />

我试过这个，但得到以下错误： “通用：授权失败。确保您已指定正确的 SharedSecret、SimpleWebToken、SharedAccessSignature 或 Saml 传输客户端凭据。MissingToken：需要中继安全令牌。”

我正在寻找有关此错误的更多信息。但很少有问题出现。 如果我们让 azure 服务总线无需身份验证即可访问，那么有人会为了自己的利益而滥用服务总线吗？

Answer 1

我们真的需要保护这个密钥吗？

您将颁发者和默认密钥存储在服务器端。 为了在 Azure 服务总线上进行授权，Service Bus WCF 端点使用颁发者和默认密钥创建一个令牌，该令牌将使用默认密钥进行签名，这意味着默认密钥将永远不会发送到 Azure。

有没有一种方法可以简单地在服务总线中提供身份验证 它从他们的引脚识别客户，并且只允许一组 访问服务总线命名空间的人？或者我没用 担心这些问题？

据我了解，您已经在 WCF 方面实施了某种安全措施。 还有另一种方法可以做到这一点。您可以使用 ACS 来验证客户端。默认情况下，Azure 中继服务提供对简单 Web 令牌的支持。

这是工作流程：

1. 客户端将用户名/密码（或用户名/密钥）发送到 ACS。
2. ACS 验证凭据是否有效。
3. ACS 将 SWT 令牌发送回客户端。
4. 客户端将 SWT 令牌打包到 HTTP 请求中（例如放入 标题）
5. 客户端使用 Header 中的令牌向 Web Service 发送请求。
6. WCF Web 服务接收令牌并使用 从 ACS 命名空间提供的安全共享密钥。（请注意 此密钥在通信期间未发送，必须手动发送 从 ACS 门户复制到 Web 服务配置文件）
7. 如果令牌有效，则 Web 服务向客户端发送数据。