0
嗨
我想创建一个WCF服务,该服务具有登录方法,该方法正在验证和授予用户角色,并且根据该角色允许或禁止用户调用其他服务方法。哪种做法最好?是否有WCF标准机制来实现这一目标?
非常感谢!WCF中的方法级别安全
A
回答
1
基本上你没有。从登录方法返回票证是不安全的,停止应用程序编辑它并在随后的每个请求中发送伪造版本是什么。是的,你可以签署它,但你发送的东西很大。
每次只需要一个用户名/密码组合,并使用标准认证和授权位,以及基于角色的CAS根据角色进行检查和限制。
WCF已经提供了使用基于消息的安全性所需的一切,并且每个请求都需要用户名和密码 - 这是一个标准的SOAP函数。插入身份验证提供程序(如果您已经使用ASP.NET成员身份函数,则很容易),然后插入角色(如果使用ASP.NET位,则容易再次实现 - 否则,您可以使用roll your own
一旦您拥有角色根据主,你可以使用声明权限要求
[PrincipalPermission(SecurityAction.Demand, Role = "Administrators")]
你想保护的方法,甚至是整个类。
相关问题
- 1. Spring安全方法HTTP应用程序中的安全级别
- 2. Spring安全方法级别安全性注解不起作用
- 3. 行级别安全
- 4. 消息级别在同一个WCF配置文件中的安全性和传输级别安全性
- 5. WCF netNamedPipeBinding消息级别的安全性,这可能吗?
- 6. Spring安全方法级别安全与Java配置+ REST身份验证?
- 7. CakePHP安全级别表单
- 8. 如何检查方法级别弹簧安全
- 9. 春季安全3:方法级别访问失败
- 10. WCF消息级别安全性客户端证书
- 11. 传输级别与消息级别的安全性
- 12. @Result在类级别和方法级别
- 13. WCF中的传输安全和邮件安全有什么区别
- 14. WCF NetTcpBinding安全
- 15. mvc wcf安全
- 16. WCF 4.0安全
- 17. java数据库对象级别安全
- 18. 蓝牙低功耗GATT安全级别
- 19. Android安全级别和密码机制
- 20. 单线程线程安全级别
- 21. 在ActiveJDBC中实现记录级别或字段级别的安全性
- 22. 级别的通用方法
- 23. 方法级别的@ControllerAdvice
- 24. security:spring安全配置中的全局方法安全元素?
- 25. LLBLGenPro中的行级安全
- 26. 没有客户端证书的WCF消息/方法安全
- 27. 由于安全级别,无法访问“CreatingControls.InstallerControl.InitializeComponent()”
- 28. WCF消息级别安全性是否意味着我可以忽略SSL?
- 29. WCF安全许可证方案
- 30. 行级安全
如何被调用?阿贾克斯?Silverlight的?Web表单?其他网站? – blowdart 2009-06-30 04:13:12
不是web这种服务,它是一个WPF独立应用 – 2009-06-30 04:18:54