chiffrement côté service, décryptage sur le client (aes)

Question

J'espère que ceci est assez clair:

J'ai un service d'authentification qui interroge ma base de données de fournisseur de rôle aspnet. Le service d'authentification transmet les détails du rôle au client dans l'objet Utilisateur. À l'aide du rôle, j'interroge mon fichier web.config pour déterminer les valeurs qu'un utilisateur peut voir.

L'équipe de sécurité a effectué une vérification et peut voir la propriété Rôles de l'objet Utilisateur. Ils intercepter cette réponse, l'usurper avec le rôle "administrateur", et interroger ma configuration web avec ceci.

Je regarde AES pour crypter au service, décrypter au client, mais je cours en déchiffrage des problèmes en lecture seule rôle dans l'objet Utilisateur.

Quelqu'un a-t-il de meilleures idées, des suggestions?

Merci, Mike

Answer 1

Si vous voulez éviter l'usurpation d'identité, vous pouvez signer la réponse que vous envoyez et avoir ce que reçoit le message avec le rôle de vérifier la signature. Cela serait généralement fait en utilisant la cryptographie à clé publique (souvent avec des certificats X.509). Sur une note plus générale, avez-vous envisagé d'utiliser une infrastructure existante pour cela, par exemple Kerberos/ActiveDirectory?