想要將基本安全性添加到WCF服務

Question

我有一個WCF 3.5服務，它運行良好。它使用basicHttpBinding和IIS 7託管。我想爲它添加一些最低限度的安全性，可能是用戶名和密碼。有人能給我一些非常基本的指導嗎？我需要添加到我的web.config文件中？

Answer 1

WCF Security Guidance是一個非常好的開始 - 有很多場景，樣本，解釋和更多。

在過去basicHttpBinding的基本用戶名/密碼認證，你需要有幾件到位：

• 啓用客戶端上的用戶名/密碼（配置或代碼）

• 實際設置的用戶名/每次通話之前客戶端密碼（僅在代碼中）

• 定義如何驗證服務器端進入的用戶名/密碼 - 您的選項是針對Active Directory進行驗證的（例如，所有的呼叫者都需要有AD帳戶和你在一起您的域名），驗證對ASP.NET成員資格數據庫，或推出自己

• 安裝在服務器端的服務的證書，讓您的信息可以得到保護（加密和簽名）

這個如何「How To – Use Username Authentication with the SQL Server Membership Provider and Message Security in WCF from Windows Forms」基本上做你在找什麼 - 具體的例子是wsHttp，但它也應該爲basicHttpBinding工作

Answer 2

這是一個非常大的話題。

This article是wcf認證的例子。

Answer 3

不是說Codeplex上的內容有什麼問題，我只是當你剛剛開始嘗試時，覺得它太多了。就我個人而言，當某人剛剛給我一個好的跑步時，我喜歡它是否適用於我正在努力完成的事情 - 只要這是我正在尋找的基本想法。

話雖這麼說，我覺得，這些文章通過彼得·凡·奧拿做到這一點......

原創文章
A Simple WCF Service With Username & Password Authentication: The Things They Don't Tell You

在下一篇文章
A Simple WCF Service With Username & Password Authentication: The Things You Told Me

它繞過了很多沉重的（不需要的）附件因爲它與WCF之前的安全性有很大的不同，所以它也得到了WCF安全構想的好評。我認爲處理最困難的事情（不幸）是創建這些安全證書。我個人從來沒有這樣做過，所以我覺得這很痛苦。幸運的是，這裏有一個工具可以幫助創建由PluralSight創建的免費使用的cerfiticates。在文章中給PluralSight的自我認證工具提供了一個鏈接，但是鏈接被破壞了。這裏是他們目前鏈接：

Self-Cert通過PluralSight

希望這有助於任何人爲此而努力，像我一樣。