Как обезопасить службу WCF для использования только конкретным приложением?

Question

У меня есть определенное приложение Silverlight, которое снабжается данными службой WCF. Я хочу убедиться, что WCF-служба вызывается только этим конкретным приложением Silverlight. Каков наилучший способ сделать это и что я должен сделать? Это не должно быть решение с высокой степенью безопасности.

Спасибо заранее, Frank

Answer 1

Включить базовую аутентификацию (имя пользователя / пароль) на сервисе. Создайте отдельного пользователя, который приложение Silverlight будет использовать для аутентификации в службе.

Проще, но менее безопасно, возможно, просто использовать какой-либо идентификатор (известный только клиенту Silverlight) в качестве параметра службы.

Обе опции, очевидно, наиболее безопасны при использовании HTTPS. Это может быть достигнуто с помощью сертификата сервера.

Answer 2

Если ваше приложение работает анонимно, то практически невозможно быть на 100% безопасным.

Как бы то ни было, если вы требуете, чтобы ваши пользователи проходили аутентификацию, вы должны сделать службу относительно безопасной, требуя их учетные данные для входа в систему ...

Answer 3

Вы НЕ МОЖЕТЕ ограничить доступ к такой услуге. Вашему приложению потребуется доступ к любому ключу / паролю, который вы выбрали. Это тривиально декомпилировать ваше приложение и извлечь ключ. SSL / TLS не поможет - пароль можно извлечь из скомпилированного кода.

Этот вопрос в последнее время задавался довольно часто -

1. Обеспечить эксклюзивный доступ к веб-сервису
2. Как ограничить доступ к моему веб-сервису?
3. Как я могу создать и использовать веб-сервис публично, но при этом ограничить его использование только моим приложением?

Answer 4

Я не знаю, легко ли это с WCF, но я думаю, вы могли бы что-то сделать, используя клиентские сертификаты. Я использовал этот подход только для защиты веб-сайтов, и это было довольно легко сделать ...