我已经开发了一个WCF自托管服务,对此我有两个基本的安全需求,因为它会通过互联网进行访问:
传输层应防止篡改和嗅探,尤其是认证证书的检索。 这是SSL做,但是从我所看到的设置SSL需要证书的安装(可能除了通过这个黑客使用普通的证书文件),我不希望有这样做。
认证层应该包括用户名/密码验证器的。
我配置我的服务的使用方法:
<security mode="TransportWithMessageCredential">
<message clientCredentialType="UserName" />
<transport clientCredentialType="Basic" />
</security>
即使传输层的HTTP(HTTPS不是),这是否让WCF创建另一个安全层,也就是相当于SSL? 如果没有,是什么在安全强度方面的区别?
此外,有没有什么办法,以确保元数据端点,而无需使用SSL证书(不是必要的,但将不胜感激)?
这是我为自托管服务完整的配置代码:
<?xml version="1.0"?>
<configuration>
<startup><supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/></startup>
<system.serviceModel>
<services>
<service name="MyService">
<host>
<baseAddresses>
<add baseAddress = "http://localhost:8000/Services" />
</baseAddresses>
</host>
<endpoint address ="MyService" binding="wsHttpBinding" contract="IMyService">
<identity>
<dns value="localhost"/>
</identity>
</endpoint>
<endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
</service>
</services>
<bindings>
<wsHttpBinding>
<binding name="Binding1" maxReceivedMessageSize="2147483647">
<security mode="TransportWithMessageCredential">
<message clientCredentialType="UserName" />
<transport clientCredentialType="Basic" />
</security>
</binding>
</wsHttpBinding>
</bindings>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceMetadata httpGetEnabled="True"/>
<serviceCredentials>
<userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="CR.Common.Services.CustomValidator, Common" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
</system.serviceModel>
</configuration>
谢谢!
