WCF wsHttpBinding 安全，无需 SSL 和证书

Question

我想要一个可以通过互联网使用的安全 WCF 服务。轻型方法很少，因此性能不是问题（消息大小）。我更喜欢端口 80 (Web) 来解决防火墙问题，因此 TCP 绑定不是首选。另外，在我的情况下，SSL 不是一个选项。

当我研究 wsHttpBinding 时，使用 MessageLevel 安全性是我的场景的最佳选择。我配置了服务，客户端可以成功接收数据。当我使用 WcfTestClient.exe 检查服务并调用该服务时，我可以在此工具中看到 SOAP 消息 XML。我的请求和响应都是纯文本形式，没有任何加密。

有一些在服务端使用证书和在客户端使用用户名密码的示例。我希望双方都基于用户名/密码的安全性，但在网上找不到示例。

是否可以 ？ （如果有请提供链接）

谢谢

Answer 1

这是不可能的。如果您希望通过 Internet 实现消息级安全性（加密、签名、身份验证），则必须使用客户端的用户名和密码（提供客户端身份验证）和服务证书（对客户端进行服务身份验证以及交换密钥以进行加密和签名）。