Основные понятия безопасности, используемые в WCF
Безопасность Windows Communication Foundation (WCF) основана на принципах, которые уже используются и развертываются в различных инфраструктурах безопасности.
WCF поддерживает некоторые из этих инфраструктур, например протокол SSL по HTTP (HTTPS). Однако WCF не только поддерживает существующие инфраструктуры безопасности, но и реализует новые стандарты безопасности с возможностью взаимодействия (такие как WS-Security) через сообщения с кодировкой SOAP. Принципы безопасности, лежащие в основе обоих способов, остаются неизменными при использовании существующих механизмов или новых стандартов с возможностью взаимодействия. Чтобы реализовать оптимальную модель безопасности для какого-либо приложения, необходимо понимать принципы, лежащие в основе существующих инфраструктур и новых стандартов.
Вводные сведения о безопасности веб-служб WCF
Группа «Шаблоны и примеры Microsoft» написала подробный технический документ по безопасности WCF, который можно загрузить здесь: WCF Security Guide. В этом документе описываются основные понятия безопасности в отношении веб-служб, ключевые понятия безопасности WCF, сценарии приложений для интрасети, а также сценарии приложений для Интернета.
Общеотраслевые спецификации безопасности
Инфраструктура открытых ключей
Ключевой индикатор производительности (PKI) — это система цифровых сертификатов, центров сертификации и других центров регистрации, которая позволяет проверить и подтвердить подлинность каждой стороны, участвующей в электронной транзакции, с помощью шифрования с открытым ключом. Дополнительные сведения см. в разделе Службы сертификатов Windows Server 2008 R2.
Протокол Kerberos
Протокол Kerberos представляет собой спецификацию для создания механизма безопасности, проверяющего подлинность пользователей в домене Windows. Благодаря этому пользователь может устанавливать защищенный контекст с другими сущностями в домене. В Windows 2000 и более поздних платформах по умолчанию используется протокол Kerberos. Понимание механизмов системы полезно при создании службы, взаимодействующей с клиентами интрасети. Более того, поскольку привязка безопасности веб-служб Kerberos широко публикуется, протокол Kerberos можно использовать для взаимодействия с Интернет-клиентами (т. е. протокол Kerberos поддерживает возможность взаимодействия). Дополнительные сведения реализации протокола Kerberos в Windows см. в разделе Microsoft Kerberos.
Сертификаты X.509
Сертификаты X.509 являются основной формой учетных данных, используемой в приложениях безопасности. Дополнительные сведения о сертификатах X.509 см. в разделе Сертификаты открытого ключа X.509. Сертификаты X.509 хранятся в хранилище сертификатов. На компьютере под управлением Windows имеется несколько типов хранилищ сертификатов, каждое из которых используется с разной целью. Дополнительные сведения различных хранилищах см. в разделе Хранилища сертификатов.
Спецификации безопасности веб-служб
Определяемые системой привязки поддерживают множество часто используемых спецификаций обеспечения безопасности веб-служб. Полный список системных привязок и спецификаций веб-служб, которые они поддерживают, приведен здесь: Протоколы веб-служб, поддерживаемые предоставляемыми системой привязками
Механизмы управления доступом
WCF предоставляет несколько способов управления доступом к службе или операции. Среди них
PrinciplePermissionAttribute
Поставщик участия ASP.NET
Поставщик ролей ASP.NET
Диспетчер авторизации
Модель удостоверения
Дополнительные сведения по этим темам см. в разделе Механизмы управления доступом.