想要将基本安全性添加到WCF服务

Question

我有一个WCF 3.5服务，它运行良好。它使用basicHttpBinding和IIS 7托管。我想为它添加一些最低限度的安全性，可能是用户名和密码。有人能给我一些非常基本的指导吗？我需要添加到我的web.config文件中？

Answer 1

WCF Security Guidance是一个非常好的开始 - 有很多场景，样本，解释和更多。

在过去basicHttpBinding的基本用户名/密码认证，你需要有几件到位：

• 启用客户端上的用户名/密码（配置或代码）

• 实际设置的用户名/每次通话之前客户端密码（仅在代码中）

• 定义如何验证服务器端进入的用户名/密码 - 您的选项是针对Active Directory进行验证的（例如，所有的呼叫者都需要有AD帐户和你在一起您的域名），验证对ASP.NET成员资格数据库，或推出自己

• 安装在服务器端的服务的证书，让您的信息可以得到保护（加密和签名）

这个如何“How To – Use Username Authentication with the SQL Server Membership Provider and Message Security in WCF from Windows Forms”基本上做你在找什么 - 具体的例子是wsHttp，但它也应该为basicHttpBinding工作

Answer 2

这是一个非常大的话题。

This article是wcf认证的例子。

Answer 3

不是说Codeplex上的内容有什么问题，我只是当你刚刚开始尝试时，觉得它太多了。就我个人而言，当某人刚刚给我一个好的跑步时，我喜欢它是否适用于我正在努力完成的事情 - 只要这是我正在寻找的基本想法。

话虽这么说，我觉得，这些文章通过彼得·凡·奥拿做到这一点......

原创文章
A Simple WCF Service With Username & Password Authentication: The Things They Don't Tell You

在下一篇文章
A Simple WCF Service With Username & Password Authentication: The Things You Told Me

它绕过了很多沉重的（不需要的）附件因为它与WCF之前的安全性有很大的不同，所以它也得到了WCF安全构想的好评。我认为处理最困难的事情（不幸）是创建这些安全证书。我个人从来没有这样做过，所以我觉得这很痛苦。幸运的是，这里有一个工具可以帮助创建由PluralSight创建的免费使用的cerfiticates。在文章中给PluralSight的自我认证工具提供了一个链接，但是链接被破坏了。这里是他们目前链接：

Self-Cert通过PluralSight

希望这有助于任何人为此而努力，像我一样。