2

WCF サービスを呼び出してデータにアクセスするいくつかのアプリケーション (Web および WPF) があります。Windows 認証は使用していません。ユーザーは、Web アプリまたは WPF デスクトップ アプリにログインするときに、ユーザー名とパスワードの入力を求められます。データの機密性は高くありません (つまり、クレジット カードや SSN などはありません)。

WCF エンドポイントに BasicHttpBinding を使用したいと考えています。ただし、ユーザーに応じて特定のデータへのアクセスを制限できるように、ユーザー名とパスワードを WCF サービスに渡したいと考えています。

私の質問は、私たちは 100% イントラネット環境にいるので、WCF 側でユーザーを認証できるように、SOAP メッセージのヘッダーでユーザーのユーザー名とパスワードを単純に渡すのが合理的でしょうか? これは非常に一般的な状況のように思えます。すべてのアプリケーションとサービスがイントラネット環境に存在する場合に、他の人が WCF 側のセキュリティにどのように対処しているかに興味があります。

ありがとう。

4

4 に答える 4

1

wcf 3.5 sp1 を使用している場合は、セキュリティ トランスポートのAllowInsecureTransportを true に設定するだけで、セキュリティで保護されていないバインディングでユーザー名とパスワードを許可できます。

于 2010-08-18T15:03:30.067 に答える
0

パスワードはプレーンテキストで送信しないでください。同じパスワードを別のものに使用する人もいます。誰かのパスワードを盗むと、個人情報の盗難という重大なケースにつながる可能性があります。ただし、アプリケーションが危険にさらされることはありません (そして、被害者は漏えいの原因さえ知りません)。

パスワードがハッシュ化されるのには理由があります。コンピュータでさえパスワードを知ってはいけません!

于 2010-08-17T21:16:25.533 に答える