确保WCF服务的安全 - 允许某些Web应用程序访问

我已阅读过很多主题，但我必须100％确定自己的方向与我的方案一致。确保WCF服务的安全 - 允许某些Web应用程序访问

我想要做的主要事情是将WCF服务（.NET 4.5）锁定到单个Web应用程序（尽管未来可能会更多）。

所以，

Web应用程序（通过.NET会员登录） - > WCF服务 - >数据层 - >数据库

WCF服务不应该允许通过随时随地访问，但Web应用程序。

实现此目的的最佳方式是什么？我已经阅读了有关WCF服务的用户名/密码验证，但显然，一旦用户登录到Web应用程序，您不会将密码存储在Session对象中，所以这对我来说没有多大意义。使用证书和WCF服务检查Web应用程序在调用时是否具有该证书的唯一方法是？

任何帮助lamens术语是非常感激，我觉得我卡在WCF安全噩梦。

带客户端证书的SSL。 – PhonicUK

你必须提供某种形式的凭证。证书是一种可能性;另一种方法是在后端WCF服务中使用Windows身份验证，并且只允许访问承载Web应用程序的应用程序池的服务帐户。

2012-09-18 09:55:16 Joe

但是要通过.NET Web应用程序发送该Windows用户名/密码，是否还需要使用证书才能保证Windows身份验证凭据的安全？ –

如果在Web应用程序和Web Service之间配置Windows身份验证，则不会发送密码，也不需要证书。 – Joe

任何想法如何为移动应用程序访问的Api执行此操作。并将api的访问权限限制在应用程序中。 – Vikneshwar

您需要通过请求凭据来认证Web应用程序，以便您的WCF服务是安全的。

2012-09-18 10:50:28 Reddy

回答