ASP.NET、WCF：如何对调用应用程序进行身份验证？不是用户，而是应用程序本身

Question

由于一些原因，我工作的那群人不想使用证书，也不喜欢任何人都可以通过有效登录来访问服务的想法。

我的问题是如何在不使用证书的情况下将应用程序验证为适合与这些 wfc 服务一起使用的官方应用程序？

他们试图避免出现这样的情况：好奇的客户足够聪明，能够检索服务调用，并拥有足够的基础设施来构建自己的客户端来使用它们。

Answer 1

我认为这是很难实现的。如果您公开服务，您只是说“嘿，如果您有有效的凭据，您可以使用以下一些功能”。调用应用程序的标识只是消息中发送的另一个数据。因此，如果您有聪明的客户，拥有有效的凭据和有效的 IP（如果您使用某些过滤器），他可以从自己的应用程序发送相同的标识。如果您创建一些巧妙的算法来创建随机有效的应用程序 ID，您仍然会将该算法与您的客户端应用程序一起提供，因此您需要进行混淆以保护其代码免受逆向工程的影响。

Answer 2

我们在一项工作中使用了幻数方案，将生成的幻数与一系列 IP 配对。然而，我们也使用用户名密码只是一种想法。