Приложение Silverlight аутентифицируется с помощью WCF без IIS

Question

Я боролся с этим в течение нескольких дней, и я надеюсь, что кто-то может предложить некоторые решения.

У меня есть собственная WCF-служба, основным интерфейсом к этой службе будет приложение Silverlight, размещенное в среде, отличной от IIS, потенциально общей.

Я знаю о транспортном средствеWithMessageCredential и обычае authentication validator. Единственным требованием этого является то, что хост имеет HTTPS и действительный сертификат SSL. Тем не менее, есть определенные среды, в которых продукт будет работать там, где они не хотят хлопот платить и поддерживать сертификат, или общая среда не разрешает SSL.

Легкий ответ заключается в том, чтобы сказать им, чтобы найти новый хост/админ, но меня попросили выяснить, есть ли какие-либо другие механизмы аутентичности аутентификации.

Любые предложения?

Благодаря

Answer 1

Без SSL там на самом деле не какой-либо способ для вас, чтобы защитить учетные данные пользователей «по проводам». Вы «можете» сделать некоторое шифрование в приложении Silverlight, но это действительно сводится к обфускации или «реальной» безопасности.

Единственный вариант, который я могу придумать в этом сценарии, был бы умеренно безопасным, было бы 3-факторным решением, таким как предоставление всем пользователям SecureID брелок.

Answer 2

У нас была та же проблема. Мы сделали установщик для службы WCF, который создает самозаверяющий сертификат, добавляет его в хранилище системных сертификатов и настраивает привязку с портом HTTPS. Приложение Silverlight имело ссылку для загрузки этого сертификата из службы WCF. Таким образом, пользователи могут загрузить этот сертификат и установить его в хранилище доверенных корневых сертификатов.