WCF 安全 - Https 和匿名身份验证

Question

我们有一个当前正在使用 basicHttpBinding 的服务。我们可以灵活地将其转换为 netTCPBinding。在 IIS 7 中部署它时，我们使用匿名身份验证。该服务由同一网络中 IIS 中托管的网站访问。

我们的客户对匿名身份验证提出了担忧，他不希望不需要的用户（在办公室网络中）使用它。重点是人们可以创建自己的示例网站并使用该服务。

假设我使用传输凭证类型作为“证书”，它可以满足我的要求吗？即，只有拥有客户端证书的用户才能访问该服务？您能指导我阅读任何解释如何实现它的文章吗？

<endpoint address=""
binding="basicHttpBinding"

我已经提到了以下内容 http://msdn.microsoft.com/en-us/library/ms731092.aspx

注意：IIS 中的消费网站使用 Windows 身份验证：已启用，ASP.NET 模拟：已启用

谢谢

Answer 1

我的建议是转换为netTCP并使用证书身份验证。仅与访问 Web 服务的网站共享证书。以下链接将帮助您实现 WCF 中的证书安全

http://www.codeproject.com/Articles/36683/9-simple-steps-to-enable-X-509-certificates-on-WCF

Answer 2

最简单的解决方案是使用Http Headers，并在客户端发出请求时在标头中放入一些身份验证密钥。在服务器上检查请求标头中的身份验证密钥。如果未找到钥匙，则对服务进行故障排除。查看这篇文章，其中解释了如何在创建服务代理时添加标头。

建议

您可以删除元数据端点（mex），设置httpGetEnabled 为 false，这样就没有人能够创建服务的代理。

希望这对您有帮助。