Javascript 클라이언트가 사용할 수있는 WCF 서비스를 보호하는 방법은 무엇입니까? 이에 대한 특정 보안 모델은 무엇입니까?WCF 서비스 클라이언트가 Javascript 클라이언트가 될 수있는 경우의 보안
내가 이해하는 것은 WCF입니다. 전송 및 메시지 보안을 사용하여 유선을 통한 데이터 암호화를 지원합니다. 그러나 WCF는 누구나 서비스를 사용할 수 있기 때문에 여전히 안전하지 않습니다 (인증 누락). "앞뒤로 움직이는"데이터 만 채널을 통해 암호화됩니다. 어느 것이 충분하지 않습니다. 그래서 우리는 상호 인증과 choosed Certificate를 cridential으로 소개했습니다. 클라이언트가해야 할 일은 : 모든 SOAP 요청과 함께 유효한 인증서 (클라이언트 기밀에는 공개 키와 개인 키가 포함되어 있으며 WCF 관리자가 발급 한 인증서)를 보내야합니다. 내 서버가 신뢰하는 CA에서 발급 한
우리는 클라이언트가 Javascript/Ipad/.Net/DBL 클라이언트 일 수 있기 때문에 basicHttpBinding을 사용하고 있습니다. 우리는 .Net/SOAPUI/JAVA 클라이언트를 사용하여 이러한 서비스를 사용할 수 있습니다. 그래서 우리는이 접근법에 능숙했습니다.
하지만 오늘 분석에서 우리는 JavaScript 클라이언트가 상호 인증을 지원하지 않기 때문에 JavaScript 클라이언트가 Google 서비스를 사용할 수 없음을 발견했습니다. 상호 인증을 지원하고 유효한 인증서를 서버에 게시하더라도 모든 클라이언트 (웹 브라우저)에 공개 키와 개인 키가 포함되어 있으므로 클라이언트 인증서를 제공 할 수 없습니다 (개인 키도 알아 두십시오!). 내 서버가 맹목적으로 신뢰합니다.
이제 혼란 스러워요. 보안상의 타협없이 JavaScript가 지원하는 보안 모델을 제안 할 수 있습니까? RESTful WCF와 같은 것.
JavaScript가 Message Security를 지원하지 않으며 전송 보안 만 지원한다는 사실을 알고 있습니다. 데이터가 어떻게 암호화되는지는 신경 쓰지 않습니다. 클라이언트가 내 WCF 서비스에서 인증받는 방법이 중요합니다.
많은 감사
를 (누군가를 도와 희망) 아마존과 같은 많은 서비스 제공자에 의해 사용되는 인증을 위해 HMAC 알고리즘을 사용하십시오 ... – Rajesh