如何避免使用来自未知客户端的 WCF 服务

Question

我正在开发一个 Windows 窗体应用程序，该应用程序使用我开发的 WCF 服务，托管在互联网付费主机上。

在我的 WCF 服务上，我有一些 OperationContracts 来为 Windows 窗体客户端提供一些功能。 如果我在我的 Windows 窗体客户端中设置指向我的 WCF 服务的新服务引用，我可以使用该 OperationContracts。到目前为止没有问题。

如果有人“知道”我的 WCF 服务的地址，任何人都可以在他/她的“自己的”客户端应用程序中使用我的“自己的”WCF 服务。

使用像 Wireshark 这样的工具来检索 WCF 服务 url 非常简单。

所以，我的问题...有某种保护措施可以避免这种情况？ 我不希望“其他客户”使用我自己的 WCF 服务。

PS：无法在我的付费主机上使用 SSL 证书。

Answer 1

您应该为您的服务添加身份验证。身份验证可以使用不同的技术： 用户名-密码、证书等。 关于最简单的用户名密码验证，您可以阅读here。

Answer 2

不是 100% 确定这是您要查找的内容，即使是我也建议您实施某种授权，但您可以通过将 httpGetEnabled 属性设置为来禁用服务的 WSDL服务配置文件中的 false：

<behaviors>
  <serviceBehaviors>
    <behavior name="MyServiceBehavior">
      <serviceMetadata httpGetEnabled="false" />
    </behavior>
  </serviceBehaviors>
</behaviors>

这将禁用 WSDL 的发布（至少据我了解）。因此，将服务引用添加到您的应用程序，然后将值设置为“false”。即使有人嗅探到您的服务地址，他们也无法拉取 WSDL 来生成代理。

编辑

为了澄清，将上面的属性设置为 false 不会隐藏服务 URL - 它只是禁用 WSDL。任何知道您的服务 URL 但没有有代理的人都需要 WSDL 来生成代理。 httpGetEnabled="false" 阻止提供 WSDL，从而阻止生成代理。

由于您不能在您的托管站点上使用 SSL 证书，自定义用户名验证器（即使使用消息作为传输模式）似乎不是一个选项，因为 WCF“WCF 强制在使用 UserName 凭据时传输是安全的。” （例如，请参阅 <message> element of <wsHttpBinding>），关于我能为您看到的唯一其他选择是使用安全令牌服务 (STS)。

最后一个选择是将服务放在专用网络上，但这可能会破坏您想要完成的任务，具体取决于您的要求。

另一个最终选择（我猜这不是最终选择）是移动到一个确实允许您使用 SSL 的托管站点。

对于 STS，您可以查看与 .NET 4.5 完全集成的 Windows Identity Foundation。如果您使用的是早期版本的 .NET，可以查看 WCF Security Token Service。