WCF WebService安全性：如何在WebService上使用安全性？

Question

我创建了一个简单的.NET WebService（它只是传回一个字符串）。 如何修改服务器端（可能还有客户端），使其在发送响应之前也使用用户名/密码进行验证？

客户代码：

static void Main(string[] args)
{
    UpdateClient client = new UpdateClient("UpdateSOAPIIS");

    client.ClientCredentials.UserName.UserName = "Michael";
    client.ClientCredentials.UserName.Password = "testpassword";

    String response = client.GetString("New York, NY");

    Console.WriteLine(response);

    if (client != null) client.Close();
}

服务器代码：

public virtual GetStringResponse GetString(GetStringRequest request)
{
    return new GetStringResponse("Search Location: " + request.location);
}

Answer 1

我建议阅读Juval Lowy的出色文章Declarative WCF Security 。 他描述了五个常见方案（内部网，互联网，b2b，匿名，完全没有安全性），并说明了这意味着什么，如何实现等。

他甚至还创建了声明性属性，您基本上可以将它们放在服务声明中并完成它。

这些安全方案实际上应该至少覆盖您典型情况的80％（如果不是95％）。 学习并使用它们！ 强烈推荐

Answer 2

这实际上取决于您想要哪种安全性。 应该对协议进行加密，对数据进行加密还是只想对用户进行身份验证。 在最后一种情况下，您可以继续使用所需的任何技术来验证用户是否有权使用该API。 有关其他选项和一些代码，请查看此MSDN文章http://msdn.microsoft.com/zh-cn/library/ms731925.aspx