J'ai une application Silverlight spécifique, qui est alimentée avec des données par un service WCF. Je veux m'assurer que le service WCF est seulement appelé par cette application spécifique Silverlight. Quel est le meilleur moyen d'accomplir cela et que dois-je faire? Il ne doit pas être une solution de haute sécurité.Comment sécuriser un service WCF à utiliser par une application spécifique uniquement?
Merci à l'avance, Frank
Activer l'authentification de base (nom d'utilisateur/mot de passe) sur le service. Créez un utilisateur unique que l'application Silverlight utilisera pour s'authentifier auprès du service.
Il est peut-être plus simple, mais moins sûr, d'utiliser un type d'identificateur (connu uniquement du client Silverlight) en tant que paramètre de service.
Les deux options sont évidemment les plus sécurisées lorsqu'elles sont implémentées avec HTTPS. Cela peut être accompli en utilisant un certificat de serveur.
Vous ne peut pas limiter l'accès à un tel service. Votre application devra avoir accès à la clé/mot de passe que vous avez choisi. Il est trivial de décompiler votre application et d'extraire la clé. SSL/TLS n'aidera pas - parce que le mot de passe peut être extrait du code compilé.
Cette question a été posée à quelques reprises récemment -
Si votre application est en cours d'exécution de façon anonyme, alors il est pratiquement impossible d'être 100% garantir.
Comment jamais si vous êtes à vos utilisateurs nécessitant d'authentifier alors vous devriez être en mesure de rendre le service relativement sûr en exigeant leurs identifiants de connexion ...
Je ne sais pas si facile avec WCF, mais je supposez que vous pourriez faire quelque chose en utilisant des certificats clients. J'ai seulement utilisé cette approche pour protéger les sites Web et c'était assez facile à faire ...
Le problème avec l'approche est que la clé/mot de passe n'est pas sécurisé. Qu'il s'agisse de flash/silverlight ou de javascript, la clé peut facilement en être extraite. –
Bon, bon point. Dans le cas de javascript etc, il n'y a aucun moyen de le faire par programmation de manière 100% sécurisée. Donc, cela pourrait signifier que vous êtes coincé avec quelque chose comme des certificats clients ou un filtrage IP dans votre serveur web/pare-feu, éventuellement combiné avec la solution mentionnée ci-dessus. –
100% sécurité est une illusion de toute façon :) C'est juste "combien d'efforts et de compétences faut-il pour contourner les restrictions de sécurité". Cela dépend donc de l'importance des données. Un nom d'utilisateur/mot de passe d'authentification le fera pour moi, merci pour toutes les réponses! – Aaginor