我需要创建一个Web服务来收集客户应用程序中的数据。WCF Web服务适用于非微软SOAP客户端吗?
这些应用程序使用不同的技术进行编程,它们都有一个共同点:它们可以使用普通的SOAP Web服务。
我已经有一个WCF服务可以被暴露,但因为它只是为了内部目的而构建的,所以我从来不必去保护它。
我读了很多关于如何保护WCF服务以及如何从Microsoft客户端应用程序中使用它的文章。但是,我非常关心客户的非微软应用程序实现标准WCF服务安全性的能力。我必须记住,其中一些可能是无状态的,无法保持会话或安全的WCF服务可能需要的任何内容。
所以这里是我现在的选择。
1)将用户名/密码参数添加到每个WCF功能并对每个呼叫执行凭证检查。 (我有一个SSL证书......是否足以认为这个选项是安全的?)
2)删除我的WCF服务并创建一个带有用户名/密码参数的普通SOAP Web服务,如选项#1中所述更接近我的客户的应用程序功能。
3)实现标准的WCF安全性,让客户找到自己处理的方法。 (这里真正的问题是:WCF的安全性是否足够简单,足以由任何SOAP客户端实现?)
4)更改我的名字,并在发现我是Web服务安全noob之前,用我的客户的钱转移到牙买加。
5)别的东西...
那么我最好的选择是什么?