1
我在内部网的服务器上托管了WCF服务。它揭示了一种方法。
我在同一个Intranet上有100,000个以上的Windows客户端。
在每个客户端上运行的应用程序调用WCF服务的单一方法。
但是,我只希望来自该应用程序的调用能够进行该调用。在同一用户帐户下运行在客户端上的任何其他客户端应用程序都不应该能够调用该方法。
问题:
我们该如何实现这种安全性?共享的秘密(无论如何都可以通过反编译发现)是唯一的方法吗?
A
回答
0
看一看这个:http://msdn.microsoft.com/en-us/library/aa354513.aspx 本示例使用用户名/密码认证,您可以在客户端应用程序设置中轻松配置并通过调用传递它们。或者您可以使用在一段时间后过期的令牌认证。
0
应用程序标识通常基于一些客户端秘密。但是,如果攻击者应用程序使用与授权应用程序相同的凭据运行,那么很难阻止攻击者应用程序调用您的服务。你怎么能防止攻击者的应用程序得到秘密?
如果您可以让授权应用程序在任何帐户下运行,您可以查看grouped managed service accounts。在这种情况下,帐户(和密码)由Windows管理。然后,您可以使用证书身份验证,并仅向管理帐户授予对私钥的读取权限。
分组的托管服务帐户确实需要您的域控制器在Windows 2012 R2上运行。
相关问题
- 1. Apigee客户端应用程序客户端身份验证
- 2. ASP.NET MVC 2.0客户端验证HOWTO
- 3. WCF客户端测试程序和客户端凭证
- 4. 客户端应用程序服务 - 来自WPF客户端的身份验证
- 5. 客户端验证使用的XForms - MVC应用程序
- 6. WCF - 向客户端验证服务
- 7. 客户端自定义验证程序
- 8. 如何实现客户端应用程序的自动验证?
- 9. 如何验证客户端的内部应用程序
- 10. WCF客户端证书验证+ Windows身份验证
- 11. 带客户端证书和基本身份验证的WCF客户端
- 12. Web应用程序安全性和客户端身份验证
- 13. 验证Java Web Start客户端应用程序
- 14. asp.net MVC应用程序中的客户端和服务器端验证
- 15. 在wcf的客户端禁用认证验证
- 16. 如何在iOS应用程序中使用客户端证书身份验证
- 17. 用于身份验证的Chrome应用程序客户端证书
- 18. 如何在WCF中使用客户端应用程序服务?
- 19. PHP RESTful的API - 如何验证在客户端应用程序和用户
- 20. 肥皂客户端的响应验证
- 21. 验证PyOpenSSL中的客户端证书
- 22. 客户端验证在我的MVC3应用程序中不起作用
- 23. 如何做一个客户端应用程序的服务器端验证?
- 24. ASP.Net中的客户端应用程序
- 25. wcf中的客户端证书
- 26. Uploadify的客户端验证?
- 27. 验证的RadioButtonGroup客户端
- 28. 客户端验证的OpenERP
- 29. WCF DataContract类未在客户端应用程序中定义
- 30. WCF客户端和非WCF客户端
如果您不希望密钥出现在您的应用中,您可以使用客户端证书或DNS名称。这些方法是否可行取决于您的域管理员如何设置系统管理。 – CodeCaster 2014-12-04 18:05:59