仅允许数字签名的应用程序访问 wcf 服务

Question

我一直在网上搜索如何以及是否可以验证调用应用程序是否使用正确的证书进行数字签名。

这是供我公司内部使用的。 我们想要对我们的应用程序进行数字签名，并且只让我们经过数字签名的应用程序访问我们的wcf服务。 这是iis的配置还是wcf应用程序中的配置？ 如何？

谢谢 马里奥斯

Answer 1

默认情况下，你不能在 WCF 中做你想做的事； 它根本不将程序集信息作为其任何安全谈判的一部分传递。

您可以通过让程序反映其程序集并使用 AssemblyName 的 PublicKeyToken 并将其作为请求的一部分传递给服务，但我不推荐这样做； 您将非常容易受到重放攻击。 任何拥有 Reflector 的人都可以随时了解如何使用您的服务。

最终，您最好在服务中构建某种凭据系统，并强制用户在使用您的服务时提供这些凭据。