Означает ли безопасность на уровне сообщений WCF, что я могу игнорировать SSL?

Question

Справочная информация: у меня есть приложение, которое при установке генерирует случайный идентификатор (AppId).При вызове службы WCF я хочу, чтобы идентификатор передавался, чтобы служба знала, какой экземпляр приложения вызывает его.

До сих пор планируется использовать пользовательский WCF UserNameValidator, который будет просто проверять, что «AppId»переданный является известным "AppId".Я хотел бы зашифровать запросы так, чтобы «AppId» не был виден, но я бы хотел сделать это без SLL.(Это небольшой проект, который пытается снизить затраты :))

Из того, что я прочитал, я могу использовать безопасность на уровне сообщений и установить для clientCredentialType значение UserName, которое должно шифровать имя пользователя в,Это правильно?Если да, считаете ли вы, что есть какие-то дополнительные преимущества в использовании SSL (я полагаю, что это на уровне «транспорта»), учитывая, что «AppId» - это единственное, что мне интересно хранить в секрете?

Answer 1

Согласно http://msdn.microsoft.com/en-us/library/ff648863.aspx, вы можете использовать шифрование сообщений без SSL (транспорт). Защищать сообщение немного дороже, и я бы предложил обеспечить безопасность как на транспортном уровне, так и на уровне сообщений (с точки зрения безопасности), но ответ на ваш явный вопрос заключается в том, что один может обходиться без другого в обоих направлениях.

Я бы посчитал TransportWithMessageCredential лучшим подходом к вашему вызову.