Quels sont les impacts de la définition de establishSecurityContext = "False" si j'utilise https?

Question

Service Mon WFC utilise wsHttpBinding configuré avec:

<security mode="TransportWithMessageCredential"> 
    <message establishSecurityContext="True" clientCredentialType="UserName"/> 
    <transport clientCredentialType="None" proxyCredentialType="None"/> 
</security> 

Un de notre partenaire tente d'invoquer nos services en utilisant la java la bibliothèque Metro. Ils ont this problème. Je dois définir establishSecurityContext = "False" pour que cela fonctionne. Nous avons fait un test rapide et cela fonctionne en effet quand je le mets à false. Quels seraient les impacts de ne pas utiliser de sessions sécurisées (en définissant establishSecurityContext = "False"). Je cours déjà sur https. Alors serai-je OK en termes de sécurité? Et y a-t-il d'autres impacts à considérer (performance peut-être)?

Merci

Answer 1

La différence est que la sur un non-SCT (jeton de contexte de sécurité) a permis point final, l'échange de clés et de validation doit être fait par appel au lieu d'être fait une fois et mis en cache pour la session et seulement SCT a circulé dans les messages à la place. Les SCT sont basés sur une clé symétrique qui les rend beaucoup plus efficaces pour signer/chiffrer le message. L'utilisation d'un SCT est très bonne lorsque l'on s'attend à ce que le client effectue de nombreux appels successifs, car cela réduit le besoin de faire l'échange et la validation d'une clé unique à chaque fois.

Ce que je recommanderais, c'est que vous exposiez simplement un autre point de terminaison pour les clients qui ne supportent pas les SCT et leur disiez de l'utiliser. Les clients qui peuvent utiliser des SCT gardent le point de terminaison par défaut et conservent tous les avantages qui en découlent.

Pour en savoir plus sur le sujet, consultez section three of the WS-SecureConversation documentation.