如何保护您的WCF服务？

Question

有时候，程序员想出了一个很好的主意来保护他/她的webservice，它是用创建的。

我想听听你们的意见，你们用了哪些技术来保护你的WCF服务，避免未经授权的用户使用它？

例如，您可以：

• 避免冒充，必要时才使用。
• 发布元数据信息以防止篡改
• 避免内存配置强制执行最大大小配额
• 创建安全上下文令牌以控制会话数量

Answer 1

昨天，我发现了一个文章、一个视频和关于在WCF中使用API键的代码。为了遵守PCI-DSS，我必须锁定一个公开的web服务，这是我们需要做的工作的一部分，这看起来是向前迈进的正确方式。在过去，这个应用程序和webservice只被VB4/5/6 (现在是.NET)桌面应用程序使用，但老板希望它作为付费服务向其他人开放。

一个金融客户端在SOAP头中使用了一个带有安全信息元素的方案。该元素有4个属性，一个是应用程序的名称，一个是时间戳和guid元素，用于防止重放攻击；第四个属性是基于应用程序名称、时间戳和guid的散列，以及存储在注册表中的一个“机密”(考虑密码)(对于windows服务器，或者针对基于unix的服务器具有不同“密码”的特殊锁定文件，用于不同的应用程序名称)。“机密”(或密码)旨在防止数据中心中的特洛伊木马程序能够进行不适当的调用或响应它们的情况。这显然不是WCF，因为它必须在数据中心支持unix、windows和其他操作系统，但是这种技术很吸引人，可以在其他地方使用。因为他们使用url重写，所以安全信息元素不会出现在WSDL中，因此您必须从只有授权人员才收到的文档中了解它；如果您将?WSDL添加到end服务端点的末尾，您就得到了一个谎言。