WCF 인증/WCF REST Authetication .. 다른 방법?

Question

나는 OLAP 데이터베이스에서 데이터를 소비하는 WCF REST 서비스를 만들었으며 Microsoft 기술이 아니므로 궁극적으로 다른 많은 OLAP 데이터베이스를 단일 플랫폼에 연결하고 싶습니다.

많은 읽기 끝에 WCF REST의 보안은 매우 바람직하지 않습니다. 요약하면 두 가지 선택 사항이 있습니다. 하나는 기본 인증을 사용하여 유선을 통해 사용자 이름과 암호를 노출하는 것입니다. SSL로 기본 인증을 사용하면 이제 웹 서버에서 다른 인증서를 가져와야합니다. 또는 암호화 된 암호를 사용하고 데이터베이스에 대해 인증하는 다이제스트 인증을 사용하는 것이 가장 좋은 방법이지만, 제 경우 Microsoft 기술을 사용하지 않아서 가능하지 않습니다. 보안은 다른 플랫폼에 있으며 암호를 암호화 할 수 없습니다. 데이터베이스가 암호화 된 암호를 읽을 수 없기 때문에 MD5를 사용합니다.

결론적으로 SSL로 기본 인증 만 사용할 수 있다고 결론을 내렸지 만 이것이 올바른 방법일까요? 나는 로그인 할 때 https가 보이지 않지만 http만이 안전하고 해킹하기 쉽지 않은 것처럼 내가하는 일과 비슷한 것을하는 많은 제품을 본다.

나는 방탄 웹 사이트를 만들려고하지 않고 있지만 기본 인증을 사용하는 단순한 웹 사이트는 너무 간단하거나 실제로는 암호를 알려주지 만 https를 사용하는 것이 과잉이라고 할 수 있습니까?

그래서 REST가 그 낙담하고 나면 REST를 사용하지 말고 일반 WCF를 사용하십시오. 내가 읽은 것에서는 같은 문제를 공유합니다.

몇 가지 안내를주세요. 나는 잃어버린 것 같아.

많은 감사

는

종종 기본 인증은 일반 웹 사이트에 사용됩니다

Answer 1

을 PlayKid 및 HTTP와 함께 사용할 경우 예, 사용자 이름과 암호는 종종 읽을 라인을 통해 이동합니다. Https는 이미 정보가 라인을 통해 암호화되어 전송되기 때문에 더 좋습니다. 그러나 실제로는 상업용 또는 은행 업무용 응용 프로그램에서만이를 볼 수 있습니다. MD5를 사용할 수 없습니다. MD5는 끔찍한 방법입니다. 중간 정도의 접근 방식이기 때문입니다.

그래서 응용 프로그램에 따라 간단히 http를 사용하거나 좀 더 복잡하고 안전하도록 https를 사용하십시오.

그런데 큰 안전 문제는 SQL 주입 또는 해커가 관리자 수준의 권한을 사이트에서 얻을 수있는 경우가 많습니다. 당신이 필요한 예방 조치 및 조치를 취하는 경우, 그들은 많은 정보에 접근 할 수있는 방식으로 회선을 스니핑하고 단일 사용자 암호 조합을 얻는 동안 상대적으로입니다.

Answer 2

기본적으로 SSL을 사용하는 기본 인증은 실제로 매우 안전하며 외부 세계에 노출 될 경우 사용됩니다.

는 내가 전에 방금 (엔드 포인트 권한을 부여하지 않음) 클라이언트의 설정을 알려진 클라이언트 인증하려는 경우 본 하나 개 쉬운 해킹 방식은 사용

:이 서비스를 인증하고 액세스하는 사용자 이름을 제공 할 것입니다

OperationContext.Current.ServiceSecurityContext.WindowsIdentity.Name 

유효한 사용자가 서비스에 액세스하고 모든 요청에 ​​대해 사용자가 요청의 일부로 보내야하는 암호화 된 키를 추가하는 경우 LDAP를 사용하는 DB 또는 AD를 사용하는이 사용자. 이렇게하면 요청에서 사용자 이름과 암호화 된 키를 알 수 있습니다.

기본 인증과 함께이 기능을 사용하여 안전하지 않은지 확인할 수도 있습니다.