wcfサービスをセキュリティで保護するためのパターンと優れた方法

Question

私は、クライアントとサービス間のやりとりが会社にとって敏感であるという情報として保護する必要があるwcfサービスを構築しています。私はそれをiis6でホストする予定です。クライアントアプリケーション以外の誰もサービスを呼び出してデータを取得/設定できないようにするには、ベストプラクティスは何でしょうか？

サービス呼び出しは、すべての呼び出しを監視して監査する必要があるため、ユーザーの実際の識別情報の下で実行する必要があります。監査呼び出しにPolicyInjectionを使用する予定です。

Answer 1

すべてが異なります。

しかし、基本的に2つの主要なアプローチがあります。basicHttpBindingあなたはより多くの情報を提供した場合、私はあなたを助けることができるはず

をwsHttpBindingと

SSLセキュリティとSSLと

• トランスポートセキュリティは、もっと。

  セキュリティの特定の側面があります。

  1）データの整合性：誰がデータを改ざんしていないが、データ自体は秘密ではありません。これは署名によって達成される。

  2）データセキュリティ：これは、誰も機密情報を見ることができないようにするためです。これは暗号化によるものです。

  3）認証：これは、ユーザー名/パスワードまたは証明書を使用して送信します。これは、その人が主張している人と同じであることを確認します。

  4）承認：これは、その人がサービス内の特定の機能にアクセスできるようにするためです。