0

私はしばらく wcf とその認証メカニズム、Windows、ユーザー名/パスワード、クライアント証明書をしばらく使用してきました。

SOAP メッセージを作成して送信するときに、WCF がこれらの認証メカニズムを内部でどのように使用するかをよりよく理解したいと思います。

具体的には、すべての SOAP 要求で wcf によって認証資格情報が渡されますか? それとも、最初の要求で認証資格情報のみが渡され、その後、何らかのトークンが発行され、後続のセッションでやり取りされますか?

これらの認証資格情報 (ユーザー名とパスワード、Windows、クライアント証明書) は、セキュリティ モードがトランスポートかメッセージかによって異なる方法で渡されますか? メッセージ モードでは、認証資格情報が SOAP メッセージ内にあるのに対し、転送モードでは、認証資格情報を渡すために他のトランスポート プロトコル固有の HTTP ヘッダーが使用されますか?

トランスポート モードを使用する場合は SOAP メッセージが https を使用して保護され、メッセージ モードを使用する場合は暗号化されていると仮定して、メッセージのプライバシーや改ざんについて心配する必要はありません。

4

1 に答える 1

0

あなたはいくつかの大きな質問をしましたが、私はセッションに関する質問に答えようとします.

セッションと認証の処理は、使用しているバインディングによって異なります。たとえば、basichttpbinding を使用している場合、ホストは基本的に Web サーバーのように動作し、永続的な「セッション」は作成されません。その結果、送信する各 SOAP リクエストには、ホストでの認証に必要なすべてが含まれている必要があります。ただし、WSHTTPBinding のように、トークンを使用した初期認証後も保持されるセキュリティと信頼性のセッションを作成できるバインディングがいくつかあります。

メッセージを SSL でラップすると、問題を防ぐことができます。

于 2013-10-24T13:15:42.890 に答える