Приложение Silverlight аутентифицируется с WCF без IIS

Question

Я боролся с этим в течение нескольких дней, и я надеюсь, что кто-то может предложить некоторые решения.

У меня есть собственная служба WCF, основным интерфейсом которой будет приложение Silverlight, размещенное в потенциально не общей IIS среде.

Я знаю о TransportWithMessageCredential и пользовательском валидаторе аутентификации . Единственное требование этого заключается в том, что хост имеет HTTPS и действительный сертификат SSL. Тем не менее, существуют определенные условия, в которых продукт будет работать, в которых они не хотят тратить время на оплату и обслуживание сертификата, или в общей среде не разрешен SSL.

Простой ответ - попросить их найти нового хоста / администратора, но меня попросили проверить, есть ли какие-либо другие механизмы аутентификации.

Есть предложения?

Спасибо

Answer 1

У нас была такая же проблема. Мы создали программу установки для службы WCF, которая создает самозаверяющий сертификат, добавляет его в хранилище системных сертификатов и настраивает привязку через порт HTTPS. В приложении Silverlight была ссылка для загрузки этого сертификата из службы WCF. Таким образом, пользователи могут загрузить этот сертификат и установить его в хранилище сертификатов Trusted Root.

Answer 2

Без SSL на самом деле нет никакого способа защитить учетные данные пользователей «по проводам». Вы могли бы сделать какое-то шифрование в приложении Silverlight, но это на самом деле сводится к запутыванию против «реальной» безопасности.

Единственный вариант, который я могу придумать в этом сценарии, будет умеренно защищенным, - это трехфакторное решение, например, предоставление всем пользователям ключей безопасности SecureID.