मैंने http बेसिक प्रमाणीकरण और एसएसएल का उपयोग करके एक डब्ल्यूसीएफ सेवा बनाई। (आईआईएस एटीएम में अस्थायी प्रमाणपत्र)आईआईएस में डब्ल्यूसीएफ, http मूल प्रमाणीकरण - विंडोज उपयोगकर्ता "सुरक्षा" प्रभाव
यहां प्रासंगिक कॉन्फ़िगरेशन है।
<services>
<service name="MyNamespace.MyService">
<endpoint address="" binding="basicHttpBinding" bindingConfiguration="basicHttps"
name="MyEndPoint" contract="MyNamespace.IMyService" />
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="">
<!-- These will be false when deployed -->
<serviceMetadata httpsGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="true" />
</behavior>
<!-- This doesn't do anything in IIS -->
<behavior name="CustomUsernameValidatorBehavior">
<serviceCredentials>
<userNameAuthentication userNamePasswordValidationMode="Custom"
customUserNamePasswordValidatorType="MyNamespace.CustomUserNameValidator" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
<bindings>
<basicHttpBinding>
<binding name="basicHttps">
<security mode="Transport">
<transport clientCredentialType="Basic" />
</security>
</binding>
</basicHttpBinding>
</bindings>
कारण तथ्य यह है मैं आईआईएस में की मेजबानी कर रहा हूँ करने के लिए, मैं अपने customUsernameValidator उपयोग नहीं कर सकते, और मूल प्रमाणीकरण IIS यूज़रनेम और पासवर्ड विंडोज के खिलाफ की कोशिश करता है।
मैंने एक नया उपयोगकर्ता, स्थानीय रूप से अक्षम लॉगऑन बनाया है, और इसे एक नए समूह (अधिकारों के बिना) में रखा है। केवल उपयोगकर्ता का उद्देश्य यह सुनिश्चित करना है कि उन्हें सेवा तक पहुंचने की अनुमति है, और कुछ भी नहीं। सेवा ऑनलाइन होगी, आंतरिक नहीं इंट्रानेट इत्यादि में
मेरा प्रश्न इस पर उबालता है, क्या वास्तविक विंडोज उपयोगकर्ता का उपयोग करने के तथ्य के कारण सुरक्षा जोखिम/प्रभाव हैं? यदि इस सेवा/आईआईएस को सुरक्षित करने के लिए क्या किया जा सकता है?
जानकारी के 'फ़िशिंग' को रोकने के लिए कुछ किया जाना चाहिए, उदाहरण के लिए वे अलग-अलग उपयोगकर्ता नाम और पासवर्ड को प्रमाण-पत्र ढूंढने का प्रयास कर सकते हैं?
बीटीडब्ल्यू यह आईआईएस और एसएसएल में एचटीपी मूल प्रमाणीकरण का उपयोग कर डब्ल्यूसीएफ के लिए एक कामकाजी बाध्यकारी (कुछ अन्य अंतराल इत्यादि) घटा रहा है। इसके लिए आईआईएस के पास मूल प्रमाणीकरण स्थापित है, साथ ही एक विंडोज उपयोगकर्ता के खिलाफ प्रमाणीकरण करने की आवश्यकता है। मैं विंडोज उपयोगकर्ता के खिलाफ प्रमाणीकरण नहीं करना पसंद करूंगा।
मैं दो WCF IIS6 और IIS7 पर एक webservices का आयोजन किया और कस्टम नाम सत्यापनकर्ता का उपयोग करने में सक्षम था की है, लेकिन मैं बाध्यकारी मैं बजाय का मानना है wshttps उपयोग कर रहा था। मेरे पास इस लिंक को बुकमार्क किया गया है जब मैंने इसे स्थापित किया है उम्मीद है कि यह मदद करता है। http://www.codeproject.com/Articles/96028/WCF- सेवा- साथ- कस्टम- उपयोगकर्ता नाम-password-authenti – vikingben
लिंक के लिए धन्यवाद। अब जब मैं इसके बारे में सोचता हूं तो गैर-डब्ल्यूसीएफ क्लाइंट कनेक्ट हो जाएंगे। मुझे यह जांचना है कि wsHTTP बाइंडिंग एप्राइपियेट है, लेकिन लिंक दिलचस्प लग रहा है। – lko
मैंने वेब अनुप्रयोगों में सीधे AJA कॉल से लेकर क्लाइंट तक जावा क्लाइंट तक क्लाइंट का उपयोग किया है और इसमें कोई समस्या नहीं है। शुभकामनाएं और यदि आपको कॉन्फ़िगरेशन पर अधिक जानकारी चाहिए तो मुझे बताएं। जो मैंने पाया है वह कॉन्फ़िगरेशन सबसे कठिन हिस्सा है। मेरे पास एक सेटअप है जिसका उपयोग मैं आने वाले अनुरोधों के साथ-साथ इंस्पेक्टर क्लास को सेवा के सभी साबुन अनुरोधों को लॉग करने के लिए करता हूं। – vikingben