SS Web サービスを使用しようとしているユーザーを認証したいと考えています。サンプル コードを見つけて PLURALSIGHT チュートリアルに従いましたが、最初の接続時に使用されるユーザー/パスワードが暗号化されているのか、ネットワーク上で何かが行われているのか疑問に思っていました。
現時点では、証明書を使用して WCF を保護していましたが、これは本当に苦痛です。同時に、各 WS でユーザー/パスワードを渡すことはセキュリティ障害です。
SS は認証パラメータのセキュリティをどのように管理しますか? セキュリティ障害の可能性を気にせずにそのまま使用できますか?
資格情報はプレーン テキストで送信され、認証トラフィック用に SSL を構成する必要があります。
ServiceStackは、単なる標準の ASP.NET または HttpListener Web アプリケーションです。Web アプリケーションで HTTP トラフィックを暗号化する標準的な方法は、https を介してサービスを呼び出すことです。HTTPS は ServiceStack サービスの外部 (つまり Web アプリケーション層) で有効化/構成されているため、SSL を有効化する際に ServiceStack 自体に特別な注意を払う必要はありません。
ServiceStack での HTTPS の設定は、他の IIS/ASP.NET または HttpListener アプリケーションと同じです。どちらの場合も、HTTPS はトランスポート層セキュリティ (TLS)プロトコルであり、Web サーバー/ホスト レベル (IIS など) で有効になり、Web アプリケーション (ServiceStack など) では有効になりません。そのため、SSL を有効にする方法を探すときは、IIS、Nginx、HttpListener など (ServiceStack ではなく) などの WebServer ホスト レベルで SSL を有効にする方法を調べる必要があります。
たとえば、ASP.NET ホストでホストされている ServiceStack を持っている場合、Google で IIS SSL を検索するだけで、このような多くの手順と手順が表示されます。セルフホステッド HTTP リスナーで ServiceStack をホストしている場合は、代わりにこの回答を参照してください。
サービスがエンタープライズ環境で使用されており、ADを使用している場合は、Windowsクレデンシャルを使用するように設定されたバインディング構成でWSHttpSecurityバインディングを使用することを検討できます。これにより、証明書を使用できなくなります。サービスが企業間であり、ADを持っていない場合は、証明書を作成する必要があります
Windowsクレデンシャルタイプを実行している場合は、次の設定例があります
<security mode="Transport">
<message clientCredentialType="Windows" />
</security>