我继承了这段代码,用于使用基于声明的身份验证调用WCF服务(这只是创建绑定,但是你得到了图片):
UserNameWSTrustBinding binding = new UserNameWSTrustBinding(SecurityMode.TransportWithMessageCredential);
WSTrustChannelFactory trustChannelFactory = new WSTrustChannelFactory(binding, new EndpointAddress(Endpoint));
trustChannelFactory.TrustVersion = TrustVersion.WSTrust13;
trustChannelFactory.Credentials.SupportInteractive = false;
trustChannelFactory.Credentials.UserName.UserName = ConfigurationManager.AppSettings["UserName"];;
trustChannelFactory.Credentials.UserName.Password = ConfigurationManager.AppSettings["Password"];
我知道web.config中的appsettings可以加密,我只是想知道最好的做法是什么。
该网站由于原始设计者所知的原因,是一个混合的内部/外部网站,换句话说,有部分暴露于互联网,部分只是内部。
不幸的是,尽管使用上述绑定的部分位于内部“站点”上,因此只有内部用户可以访问,但我们被告知我们需要对设计进行未来验证,这意味着内部站点的某些部分可以可以在互联网上向未经身份验证的用户提供,因此,决定将凭据存储在web.config上。
这样做有什么风险?
应该做些什么呢?
TIA