WCF Web サービスを保護する必要があり、これを行う最善の方法は何かを考えていました。それは実際には役割/ユーザーの状況ではなく、「誰がウェブサービスを呼び出すことができるか」のようなものです。
私はIPを使用できると思っていましたか?これは推奨される方法ですか?
Web サービスにアクセスできるすべての IP を含むテーブル (sql) を用意することを考えていましたが、何かが既に存在する場合は車輪を再発明したくありませんでした。
誰かがWebサービスにアクセスしたときにイベントなどがあると思いますので、そこのIPを確認できますか? -誰か例がありますか?
そして、これは標準のHTTPバインディングで実現できると思いますか?
どなたでもご意見いただければ幸いです
サービス ビヘイビアーを使用して、サービス内の呼び出し元 IP を非常に簡単に制限できます。
これを行う方法を示すソース コードを含む優れたCodeProject 記事があります。これは WCF であり、WCF の動作であるため、プラグインも可能です。必要に応じてサービスに追加したり、サービスから削除したりできます。
マルク
本当にサービスのセキュリティレベルに依存します。IP アドレスだけでは、知識のある発信者によって非常に簡単にスプーフィングされるため、機密情報を扱うサービスの場合は、クライアント証明書を使用したトランスポート セキュリティ (SSL など) など、破るのが少し難しいものをお勧めします。WCF によって非常によくサポートされており、特にクライアントとサーバーの両方を制御している場合は、思ったほど怖くも高価でもありません (そうすれば、証明書の「信頼された」ステータスを無視するようにクライアントを構成できるため、そうする必要はありません)。商用サーバー証明書を購入します)。