我有WCF的Web服务和客户端调用这个服务,这个客户端将部署在很多地方。我必须对每个客户端进行唯一身份验证和授权。因此每个位置都有其唯一的用户名和密码。如何保护WCF客户端应用程序中的敏感数据?
现在我的问题是
- 如何唯一标识每个客户端?
- 如何在客户端存储一些敏感数据?
我想到了几个办法,
- 使用证书来识别客户端。我必须生成并部署证书。
- 在服务器端有一个活动目录,并让每个客户端使用一个Windows用户帐户。
- 加密用户名和密码并将它们存储在配置文件中。我相信使用aspnet_regiis加密配置文件不会帮助我,因为任何人都可以解密它,只要他们能够访问机器。
我有一个证书来加密流量,所以我不关心嗅探。我很担心给客户一些身份和保护身份。 – iraSenthil 2011-02-07 20:49:36
赛尔特绝对是要走的路,然后,恕我直言。顺便说一句,我不关心流量的安全性,只是数量。如果用户不得不回拨服务器以便为每个操作破译数据,那么这将会非常繁琐而且可能是潜在的。 – 2011-02-07 23:40:30