c# - 启用 HTTPS、IIS 托管的 WCF 服务，如何保护它？-6ren

c# - 启用 HTTPS、IIS 托管的 WCF 服务，如何保护它？

转载作者：太空宇宙更新时间：2023-11-03 15:00:30

25

4

我构建了一个相当简单的 WCF 服务，我将其托管在 IIS 7.5 实例上。我已经完成了保护 ssl 证书以启用 https 的必要步骤。我已经解决了所有不同的 DNS 设置，所以我现在可以在给定的 Https://URL 上从全世界访问我的 WCF。目标是:对将要向服务发送数据的大约 5 个客户端进行某种客户端/服务器身份验证。保护此服务的最佳方法是什么？此时非常简单，只有一种方法。我确信 web.config 和代码隐藏会有一些变化。示例非常感谢。

这是 Web.config

<!-- language: lang-xml -->
    <?xml version="1.0"?>
<configuration>

  <appSettings>
    <add key="aspnet:UseTaskFriendlySynchronizationContext" value="true" />
  </appSettings>

  <system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5"/>
  </system.web>
  <system.serviceModel>

  <services>
    <service name="wcflistener.Service1">
      <endpoint address=""           
      binding="basicHttpBinding"
      bindingConfiguration="secureHttpBinding"
      contract="wcflistener.IService1"/>

      <endpoint address="mex"
      binding="mexHttpsBinding"
      contract="IMetadataExchange" />
    </service>
  </services>

  <bindings>
    <basicHttpBinding>
      <binding name="secureHttpBinding">
        <security mode="Transport">
          <transport clientCredentialType="None"/>
        </security>
      </binding>
    </basicHttpBinding>
  </bindings>

    <behaviors>
      <serviceBehaviors>
        <behavior>
          <!-- To avoid disclosing metadata information, set the values below to false before deployment -->
          <serviceMetadata httpGetEnabled="true" httpsGetEnabled="true"/>
          <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
          <serviceDebug includeExceptionDetailInFaults="true"/>
        </behavior>
      </serviceBehaviors>
    </behaviors>

  </system.serviceModel>

  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true"/>
    <!--
    To browse web app root directory during debugging, set the value below to true.
    Set to false before deployment to avoid disclosing web app folder information.
    -->
    <directoryBrowse enabled="true"/>
  </system.webServer>

</configuration>

还有非常简单的 Service1.svc.cs

 [DataContract]
public class Service1 : IService1
{


    public void SampleMethod(DataTable table, string name)
    {
        //sample method logic here
    } 
}

最佳答案

对于 WCF，您可以使用多种安全选项，它们各有利弊:

SSL + 使用 Windows 身份验证。 (这对于 Internet 托管服务来说通常很困难，因为每个人都需要与同一个域 Controller 对话)
SSL + 用户名/密码:WCF 可以轻松实现这一点，客户端传入用户名/密码，服务可以使用预先配置的值验证值并允许客户端进一步。
基于证书的身份验证:通常，可以为客户端提供服务器证书的公钥，以便他们可以使用该公钥调用服务。然而，这并不能完全识别客户。任何人都可以获得您的公钥。
相互证书或 2 路 SSL:这是当客户端拥有私钥并将公钥提供给服务时。反之亦然，即服务将其公钥提供给客户端。

这取决于您需要什么级别的身份验证。对于极少数客户，用户名/密码就足够了。 (总是有丢失的风险)

对于主要客户，2 种方式的 SSL 非常安全，因为人们不会轻易丢失私钥。

根据您的选择，可以共享更多代码示例。

对于选项 #，请点击此链接。 (您可以在以下步骤中使用您的 SSL 证书)

http://codebetter.com/petervanooijen/2010/03/22/a-simple-wcf-service-with-username-password-authentication-the-things-they-don-t-tell-you/

关于c# - 启用 HTTPS、IIS 托管的 WCF 服务，如何保护它？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/22849998/

25

4

0

文章推荐： python - # 符号截断 URL 文本 Flask 应用程序

文章推荐： web-services - 响应式网站 CSS 未通过梭子鱼 SSL VPN 加载

文章推荐： python - Jinja2 For 循环导致 Google App Engine 崩溃

文章推荐： ssl - Meteor SSL 保护特定页面

JavaScript 保护
我知道这有点愚蠢，但我需要保护 javascript，从某种意义上说，我希望增加尽可能多的安全性，以免它被盗版。好吧，因为它是系统的核心组件。我打算用YUI compressor来压缩混淆。但我还想
vba - 保护/取消保护图表工作表
因此，当我的宏运行时，我有这些简单的子程序可以解除保护而不是保护东西，唯一的问题是我的一些工作表实际上是图表，并且在调用这些子程序时它们没有得到保护。如何更改我的代码以合并图表？谢谢! Sub Unp
xss - csrf 保护
有很多关于 preventing CSRF 的文章. 但我就是不明白:为什么我不能只解析目标页面表单中的 csrf token 并将其与我的伪造请求一起提交？最佳答案如果您能够将脚本代码注入(in
encryption - 音频加密/保护
关闭。这个问题是off-topic .它目前不接受答案。想改善这个问题吗？ Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
docker - 保护/加密敏感的环境变量
我正在使用一个包含用于docker创建的敏感信息的env文件。但问题是它们并不安全。可以通过docker inspect轻松查看它们，因此，任何可以运行docker命令的用户都可以使用它们。我正在
.net - 保护.NET框架
NSA在此处提供了保护.NET框架2.0版的指南:http://www.nsa.gov/ia/_files/app/I731-008R-2006.pdf 我想知道他们是否提供更高版本的指南，例如版本3
Java JAR 保护
我编写了一个 Java 应用程序，并计划在线发布它。每个版本都将使用我制作的 secret 序列 key 锁定。我需要从反编译器等保护我的 jar 文件。这是我到目前为止所做的: 用户在表格中输入他
PHP 保护 $_GET
我不知道为什么这不起作用。如果 ?Session=2 不是您发出的，那么您将返回您的帐户。这是我的代码: query("SELECT * FROM user_host WHERE uid = '"
security - 保护 Elasticsearch
我是 elasticsearch 的新手，但我非常喜欢它。我唯一找不到也无法完成的是保护生产系统的 Elasticsearch 。我读了很多关于在 elasticsearch 前使用 nginx 作为
C++ header 保护
假设我有以下头文件: #ifndef TESTCLASS_H #define TESTCLASS_H #include class TestClass { public: TestClass
C++ 虚拟 + 保护？
在 C++ 中，我有一个基类 A，一个子类 B。两者都有虚方法 Visit。我想在 B 中重新定义“访问”，但 B 需要访问每个 A(以及所有子类)的“访问”功能。我有类似的东西，但它告诉我 B 无
java - 保护 PDF
我目前正在使用 Apache FOP 库生成 PDF。我希望这些 PDF 免受复制粘贴，因此人们必须使用实际的 OCR 库(或手动输入)来获取 PDF 上的信息。 FOP 显然提供了一些安全性，然后将
php - 保护 JSONP？
我有一个使用 JSONP 进行跨域 ajax 调用的脚本。这很好用，但我的问题是，有没有办法阻止其他站点访问这些 URL 并从中获取数据？我基本上想制作一个允许的站点列表，并且只返回列表中的数据。我正
javascript 全局变量 - 保护
我在基于 Html/Javascript 构建的 Web 应用程序上使用了一些全局变量。我跨页面(或部分页面)使用这些变量，有时它们用作 ajax 调用的发布数据。我的问题是:这有多安全？当然，我可以
php - 保护/限制用户组功能的良好做法
我有一个扩展到多个类文件的大项目。这个项目是在赶时间前匆忙完成的。这对项目安全造成了影响。所以简单来说，理论上任何人都可以在我的项目中调用一个 AJAX 脚本并让它运行，因为脚本中的函数不是用户权限感
c# - 保护 DLL
相当多的人对 ivé 发送给他们的 dll 真正感兴趣，他们不是那种应该经常免费赠送的类型... 我只是想知道，如果我要出售我的组件、用户控件等，我将如何在所有权/加密代码(如果可能)等方面保护它们。
php - 保护 PHP 类免受意外实例化？
我正在开发一个 PHP 库，我们将在其中为客户提供加密代码。该代码将包括一个他们可以实例化的主要类，该类将处理许可证验证并公开其使用方法。主类将实例化几个子类，每个子类都包含在自己的文件中。我怎样才能
Laravel - 保护 API 路由
我有一个以 VUEJS 作为前端的 Laravel 应用程序，我通过创建 API 路由获取数据。因此，例如获取帖子数据的路线将是 http://localhost/api/posts 保护路线的最佳方
security - 保护 websockets 免受外部脚本的影响
在许多网页上，我们都包含外部脚本。无论是类似于 Facebook 的按钮、用于分析或广告系统的客户端代码、外部评论提供商还是其他东西。那些脚本无法访问我的 Ajax 资源，因为一直在检查原始 hea
php - 保护 secret 数据免遭泄露
我目前正在使用 PHP/MySQL 开发一个公开和开放源代码的软件。我在一个文件夹中有几个重要的 SECRET TXT 文件。我在软件中使用它们，但问题是它们也可以被任何知道文件夹和文件名的人读取:

首页

博学

6Ren·AI

商城

c# - 启用 HTTPS、IIS 托管的 WCF 服务，如何保护它？