У меня есть приложение, которое использует Silverlight и ASP.NET в качестве внешнего интерфейса. Он извлекает данные с сервера, вызывая некоторые службы RESTful WCF, размещенные там. Я бы хотел, чтобы любопытный пользователь не открывал новое окно браузера и не вызывал веб-службу самостоятельно. Есть ли способ ограничить доступ к веб-сервисам для определенного приложения?
Спасибо!
Нет, нет.
Вы можете использовать HTTPS для защиты конечной точки и требовать аутентификации. Вы можете встроить в код ужасно длинный секретный ключ. К сожалению, System.Security.Cryptography отсутствует в установке SL, поэтому нет возможности шифрования на сервере/дешифрования на клиенте. И в любом случае нет причин, по которым пользователь не мог бы просто использовать что-то вроде рефлектора для чтения кода.
SL можно сделать «в основном безопасным», но точно не безопасным.
Если вы действительно заинтересованы в защите своих веб-служб, вам следует подумать о переходе от служб RESTful к веб-службам на основе SOAP и внедрении стандарта WS-Security для шифрования на основе сообщений.
Затем вы можете защитить свои службы, чтобы только клиенты, у которых есть надлежащая информация о безопасности (имя пользователя/пароль или сертификаты X.509), могли вызывать ваши веб-службы.
Обновить
Как видите... Я удалил X.509 как вариант. Я на мгновение отвлекся и забыл об ограничениях WS-Security в Silverlight. Хорошей новостью является то, что вы можете реализовать токены имени пользователя на основе стандарта WS-Security в Silverlight:
Реализация пароля пользователя и WS-Security с Silverlight
Вот руководство группы Patterns & Practices для безопасности WCF. Там можно многое найти.
http://www.codeplex.com/WCFSecurityGuide
