我有两个WCF服务,使用WsHttpBinding和传输安全共同证书身份验证,这些身份验证在同一个Windows服务器上托管。可以访问一个WCF服务的客户端不应该有权访问其他WCF服务。我需要一些帮助来配置Windows主机上的客户端证书。客户端证书由受信任的CA签名,并且中间和根证书链已安装在服务器上。似乎服务自动依赖于信任链,并且在让客户端访问服务之前根本不需要在服务器上安装实际的客户端证书 - 这不是我想要的行为。有人可以告诉我如何配置这些客户端证书,以明确允许访问一个服务而不是另一个服务?
感谢。
答案 0 :(得分:1)
这与证书本身无关。使用相互SSL身份验证时,证书仅用于对客户端进行身份验证,并且身份验证在应用程序之外完成(这与您可以创建自定义证书验证程序的邮件安全性不同)。证书受信任后,客户端将使用证书进行身份验证,自动对服务器上的任何内容进
您正在寻找授权 - 您可以定义经过身份验证的客户端对您的服务执行的操作的步骤。您可以使用role based security将授权逻辑硬编码到服务中,也可以实现两个自定义ServiceAuthorizationManager并将每个逻辑分配给单个服务。