3
我正在構建一個需要安全的wcf服務,以便客戶與服務進行交互的信息對公司很敏感。我打算將它託管在iis6上。確保除客戶端應用程序之外沒有人可以調用服務來獲取/設置數據的最佳實踐是什麼?保護wcf服務的模式和良好做法
服務調用需要在用戶的真實身份下進行,因爲所有的調用都必須進行監控和審計。我打算使用PolicyInjection進行審計調用。
我正在構建一個需要安全的wcf服務,以便客戶與服務進行交互的信息對公司很敏感。我打算將它託管在iis6上。確保除客戶端應用程序之外沒有人可以調用服務來獲取/設置數據的最佳實踐是什麼?保護wcf服務的模式和良好做法
服務調用需要在用戶的真實身份下進行,因爲所有的調用都必須進行監控和審計。我打算使用PolicyInjection進行審計調用。
這一切都取決於。
但基本上有兩種主要的方法:
如果你提供更多的信息,我應該能夠幫助你更多。
有保障的某些方面:
1)數據完整性:沒有人篡改數據,但數據本身並不是祕密。這是通過簽署來實現的。
2)數據安全:這是因爲沒有人能看到敏感/祕密信息。這是通過加密。
3)身份驗證:這是通過發送用戶名/密碼或使用證書。這可以確保這個人是誰的聲稱是一樣的。
4)授權:這是爲了確保該人有權訪問服務中的特定功能。
好的,服務調用需要在用戶的真實身份下進行,因爲所有的調用都必須進行監控和審計。所以我需要模擬對該服務的調用,並驗證該調用是在該用戶標識下執行的。 – dexter 2010-11-22 22:38:41