WCF客户端凭证类型=用户名，何时使用X509证书

Question

我已经阅读了很多有关使用用户名和密码进行 WCF 身份验证的内容。我不知道何时使用 x509 证书？

如果使用用户名和密码，有人可以指导我在什么情况下应该使用 X509 的正确方向吗？

1. 总是
2. 取决于（在什么情况下？）

谢谢。

Answer 1

一般总是这样。

X.509 证书确保通道安全 = 只有您的服务可以读取传入的用户名和密码（直到证书被盗）。

对于 WCF，您需要配置消息安全证书，因为传输安全 (HTTPS) 证书是在 WCF 外部的操作系统级别配置的（通过 netsh.exe 或 IIS）。

如果您不使用证书，您将没有安全通道，并且您的用户名和密码将以纯文本形式在网络中传输 - 任何获得您传输的数据包的人都将能够使用被盗的用户名和密码。

默认情况下，WCF 不允许通过不安全的通道发送用户名和密码 - 您必须为此创建自定义绑定。