1
我已经创建并测试了通过IIS 7通过SSL和Windows身份验证进行保护的WCF REST服务。我还创建并测试了一个由IIS和Windows身份验证保护的IIS 7中承载的纯HTML/JavaScript Web客户端 - 相同的服务器,IIS内的不同“站点”。 REST服务不公开,但Web客户端是。如何使用Windows身份验证同时验证IIS7托管的JavaScript Web客户端和WCF服务?
没有安全性,一切都运行良好,但现在我们已经准备好进行现场测试并且必须执行安全性。
我的最终目标是让用户访问mywebclient.com并使用他们的Active Directory帐户进行身份验证。最初,我认为将来自客户端的服务呼叫保留到REST服务是不安全的(因为从Web客户端到Web服务的流量将在内部),但这并不能保护我们免受内部攻击者的攻击。此外,未来,REST服务将通过本地应用程序提供给手持设备。
我试图尽可能多地获得有关此主题的信息,但每个Microsoft文档都包含用.NET编写的客户端示例。
如何在不将Web客户端转换为基于.NET的应用程序的情况下共享这些站点之间的安全上下文?这可以通过将Web客户端和服务组合到一个IIS“站点”中来完成吗?
编辑:如果客户端和服务存在于同一个应用程序池中,是否意味着它们可以在客户端和服务器进程之间共享身份验证信息?