0

[我知道这是相当主观的,并且取决于各种考虑,所以我只是整理一下想法,看看人们对这个主题的看法,以及他们正在考虑什么......]

我们有一个公开暴露的 asp.net 应用程序(需要用户名/密码验证),它反过来在后面使用一组 WCF 服务。

我正在尝试决定为这些服务使用哪个绑定,更具体地说 - 我们应该使用哪些安全元素(如果有的话)。

所有应用程序(Web 前端和所有服务)都驻留在防火墙后面的同一个服务器场上,这会阻止除 Web 应用程序之外的所有对服务的访问。在这种情况下——你会说没有任何安全元素是可以接受的吗(因此,大概,提高了性能?)

为了完整起见,我会说我们确实希望在某些时候在外部公开一些服务,但这将通过具有不同地址的不同端点来完成,使用包括联合身份在内的高安全性元素进行身份验证

4

2 回答 2

1

安全就像一堵墙。墙越多越好。

这就是为什么我们为内部数据库设置安全密码但可以从 Web 应用程序访问的原因,以及我们对这些数据库中的敏感数据进行加密的原因。

如果安全性不会成为主要的痛苦,请添加它。

于 2009-05-27T08:57:24.883 回答
0

您应该使您的服务也受到用户名和密码的保护,例如使用摘要身份验证等。将提供的用户名和密码将在您的应用程序内部提供。因此,您增加了一个安全层。

于 2009-05-27T09:08:53.783 回答