【发布时间】:2012-01-19 14:47:22
【问题描述】:
我们正在使用 WCF 服务。现在,我们正在使用 Windows 身份验证,但这不会持续很长时间。一些服务将位于防火墙之外,并使用在数据库中验证的用户名/密码。
我的技术负责人“害怕”任何用户都可以轻松地“添加参考”到我们拥有的服务并参加派对。他想通过添加另一个身份——应用程序来“保护”服务。他希望该服务接受来自某些应用程序的请求,这样某些用户就不能只使用该服务——添加对它的引用并调用。应用程序具有身份 + 凭证的概念是此处的操作原则,因为网络上的服务可能需要在满足请求之前验证这些凭证,以防止网络内部的恶意代码(即,不是应用程序) 使用“Joe User”最终用户凭据访问服务。
这有意义吗?
然后他认为 Juval Lowy 的书在附录中讨论了在 WCF 调用(安全拦截器)期间发送多个身份。没有具体建议所有这些都必须是最终用户身份,如果是这种情况,其中之一可能是发出请求的应用程序的身份。
如何做到这一点?
谢谢, 山姆
【问题讨论】:
标签: wcf wcf-security