Wcf 在使用消息安全性的WsHttpBinding中使用UserNamePasswordValidator进行身份验证是否安全?
基本上,我有一个web应用程序和Wcf服务,其中usernamepassword validator使用WSHttpBinding和消息安全性。一旦服务客户机被验证,我就将客户机存储在会话中,以访问服务中的所有其他web方法 这种做法是否正确?还是应该使用安全令牌服务 请告诉我Wcf 在使用消息安全性的WsHttpBinding中使用UserNamePasswordValidator进行身份验证是否安全?,wcf,wcf-security,Wcf,Wcf Security,基本上,我有一个web应用程序和Wcf服务,其中usernamepassword validator使用WSHttpBinding和消息安全性。一旦服务客户机被验证,我就将客户机存储在会话中,以访问服务中的所有其他web方法 这种做法是否正确?还是应该使用安全令牌服务 请告诉我 谢谢这是一种可行的方法,也是我们广泛使用的方法,但您在使用时应格外小心 我们总是在客户端应用程序中加密密码,并在WCF服务中解密,或者更好的是,如果我们控制密码存储,即使通信是通过HTTPS进行的,也可以与用户以前加密的
谢谢这是一种可行的方法,也是我们广泛使用的方法,但您在使用时应格外小心 我们总是在客户端应用程序中加密密码,并在WCF服务中解密,或者更好的是,如果我们控制密码存储,即使通信是通过HTTPS进行的,也可以与用户以前加密的密码进行比较