安全对应用程序来说很明显不是一个容易提供的”特性”, 尤其是当它们在多个不同的程序中,机器上甚至是公司描述时。忽略一个适当的安全策略和结构的惩罚是严厉的,与故障相关的公众信任的丧失是很困难,如果不可能来逆转的。因此,谨慎小心地考虑哪里,何时以及如何应用安全策略应该永远不被忽视。
通过确保同时对调用者和服务端进行身份认证,组织可以保证它们正在与一个期待的组织进行消息交换。授权允许一个服务来验证一个调用者是否应该被授权直接访问功能,数据或是通过服务间接访问。最后,交换数据的私密性可以通过加密来保护起来,数据完整性可以通过数字签名保存下来。
你已经看到如何为消息层和传输层安全使用证书,证书对认证和交换数据的保护都是有用的。包括证书在内,你看到了很多配置传输安全和消息安全的选项来保证在调用者和服务之间有一致的传输安全。
局域网和基于互联网服务的暴露以及使用的很多场景都介绍并深入探讨过了,并帮助来罗列你自己的需求同时提供一个特殊的例子来实现。
最后,你看到了如何开启WCF自有的对安全事件审计和日志功能。通过记录安全事件,你的组织除了可以创建一个周期性的认证请求和授权请求记录,还可以快速诊断安全问题。
不考虑安全问题潜在的复杂性,你已经看到WCF提供了很多选项来保护WCF服务,以及那些服务的使用者们。细节有时候可能是很难理解的,尤其是对那些刚刚理解概念的人,但是使用WCF,这些特性中的很多只比在配置文件或代码中开启基本选项稍微有些复杂。
下一篇我们将会讲到诊断,精彩稍后继续…