希望为WCF服务添加基本安全性

我有一个WCF3.5服务，它运行得很好。它使用basicHttpBinding和IIS 7托管。我想给它增加一些最低限度的安全性，可能是用户名和密码。有人能给我一些非常基本的指导吗？我需要向web.config文件添加什么

这是一个非常好的起点，有很多场景、示例、解释等等

对于通过basicHttpBinding进行的基本用户名/密码身份验证，您需要准备好几个部分：

• 在客户端上启用用户名/密码（配置或代码）
• 在每次调用之前在客户端上实际设置用户名/密码（仅在代码中）

• 定义如何验证服务器端输入的用户名/密码-您的选项是根据Active Directory进行验证（例如，您的所有呼叫者都需要在您的域中有一个AD帐户）、根据ASP.NET成员数据库进行验证，或者使用您自己的帐户进行验证

• 在服务器端安装服务的证书，以便可以保护您的邮件（加密和签名）

---

这个how-to“”基本上满足了您的要求-具体的示例是针对wsHttp的，但它也应该适用于BasichtpBinding

不是说codeplex上的内容有什么问题，我只是觉得当您刚刚开始时，一下子就太多了。就我个人而言，我更喜欢有人给我一个很好的机会，不管它是否适用于我想要完成的事情——只要它是我正在寻找的基本想法

话虽如此，我觉得彼得·范·奥金的这些文章正是这样做的

原创文章

后续文章

…它绕过了大量繁重（不需要的）细节，触及了WCF安全理念的实质，因为它与之前的WCF安全性有着巨大的不同。我认为最难处理的事情（不幸的是）是创建那些安全证书。我个人以前从来没有这样做过，所以我觉得很痛苦。幸运的是，这里有一个工具，可以帮助创建PluralSight创建的cerfiticates，免费使用。文章中提供了一个指向PluralSight自我认证工具的链接，但该链接已断开。以下是他们当前的链接：

通过PluralSight

希望这能帮助像我一样挣扎的人