ASP.NET, WCF: как я могу аутентифицировать вызывающее приложение?Не пользователь, а само приложение

Question

По нескольким причинам, группа, на которую я работаю, не хочет использовать сертификаты, и ей не нравится идея службы, к которой может обратиться любой, имеющий действительный вход в систему.

Мой вопрос: как я могу аутентифицировать приложение как официальное приложение, подходящее для использования с этими сервисами wfc без использования сертификатов?

Они пытаются избежать ситуации, когда любознательные клиенты достаточно умны, чтобы получать вызовы службы, и имеют достаточно инфраструктуры для создания собственных клиентов, чтобы использовать их.

Answer 1

Я думаю, что это вряд ли достижимо. Если вы предоставляете услугу, вы просто говорите: «Эй, вот некоторые функции, которые вы можете использовать, если у вас есть действительные учетные данные». Идентификация вызывающего приложения - это просто еще одна отправка данных в сообщении. Поэтому, если у вас есть умный клиент, у которого есть действительные учетные данные и действительный IP-адрес (если вы используете какой-либо фильтр), он может просто отправить тот же идентификатор из своего собственного приложения. Если вы создадите какой-нибудь умный алгоритм для создания случайного действительного идентификатора приложения, вы все равно отправите этот алгоритм вместе с вашим клиентским приложением, поэтому вам потребуется запутывание, чтобы защитить его код от обратного инжиниринга.

Answer 2

Мы использовали схему магических чисел в одной работе, где мы связали сгенерированный магический номер с диапазоном IP-адресов. Однако мы также использовали пароли пользователей только для одной идеи.