Кто-нибудь защищал службу .net wcf RESTful с использованием базовой / дайджест-аутентификации?

Question

Мне нужно обеспечить службу WCF RESTful, я думаю сделать это одним из следующих двух способов ...

1: Благодаря реализации функции, предложенной в этой статье

2: Просто передавая имя пользователя и пароль в переменные url или post

Что мне интересно, кто-нибудь сделал это? Это способ сделать это? Если я использую второй вариант, можно ли его обвинить в небезопасности (учитывая, что формы asp.net все равно отправляются открытым текстом)?

Answer 1

Передача информации PII по строке запроса является определенным нет-нет.

WCF поддерживает базовую аутентификацию из коробки. Вам необходимо совместить это с безопасностью транспорта (SSL), чтобы обеспечить безопасное шифрование данных по сети. Это абсолютно самая низкая общепринятая форма аутентификации в сети и будет поддерживаться наиболее широко. Чтобы настроить службу WCF REST с таким типом безопасности, вам просто нужно настроить привязку службы следующим образом:

<webHttpBinding>
    <binding name="MyBinding">
        <security mode="TransportCredentialOnly">
           <transport clientCredentialType="Basic" />
        </security>
    </binding>
</webHttpBinding>

WCF также поддерживает готовое дайджест-аутентификацию, но только в случае проверки по AD сервера, что делает его практически бесполезным в сценариях Интернета. Поэтому для выполнения дайджест-аутентификации вам нужно написать собственную реализацию, которая подключается к среде выполнения безопасности WCF. В Интернете есть несколько примеров того, как это сделать. Тем не менее, если у вас есть SSL, нет никакой реальной выгоды от проведения дайджест-аутентификации по сравнению с обычной аутентификацией.