У меня есть ситуация, когда у меня есть веб-сервис, обслуживающий данные (изображения, мультимедиа и т. Д.), Которые необходимо защитить, чтобы к ним мог получить доступ только соответствующий клиент Silverlight.Их может быть много, некоторые имеют доступ к некоторым носителям, а некоторые имеют доступ к другим.
Веб-сервис существует, и в настоящее время он имеет формат .asmx, но мы собираемся обновить его до WFC.
Пока что, прочитав множество блогов по WCF и авторизации, я пришел к этой идее:
- У каждого клиента silverlight есть ключ клиента где-то в его конфигурации.
- Сервер веб-службы защищен с помощью SSL, поэтому идентификатор клиента шифруется в качестве параметра веб-службы.
- Аутентификация выполняется с помощью ключа клиента.
- Авторизация выполняется с помощью ключа клиента.
Насколько я понимаю, я думаю это должно быть безопасно, но, пожалуйста, не стесняйтесь пробивать дыры!
Единственное, что меня беспокоит, этоИз моих исследований так много пользы для использования WCF для аутентификации и авторизации, но для меня это слишком сложно для того, что мне нужно!Не говоря уже о том, как сложные файлы конфигурации клиента будут работать для приложения Silverlight, обращающегося к службе WCF.
В любом случае, насколько я понимаю, для использования аутентификации WCF требуется как минимум имя пользователя и пароль или сертификат, оба из которых кажутся неуклюжими, вместо того, чтобы просто выдавать хороший клиентский ключ.
Кажется ли моя идея безопасной и разумной, или мне следует продолжать обучение WFC, поскольку эта структура является лучшим решением?
Если предпочтительной является среда WCF для обеспечения безопасности, есть ли какой-либо совет высокого уровня, который вы можете дать мне какк какому типу потока я должен был бы защитить свой веб-сервис?
С нетерпением ждем совета и опыта людей!:)
Большое спасибо!
Энди