Каковы последствия установки installSecurityContext = «False», если я использую https?

Моя служба WFC использует wsHttpBinding, настроенную на:

    

Один из наших партнеров пытается использовать наши сервисы с помощью библиотеки java Metro. У них есть эта проблема. Для этого мне нужно установить installSecurityContext = “False”. Мы сделали быстрый тест, и он действительно работает, когда я устанавливаю его в false.

Каковы были бы последствия не использования безопасных сеансов (установив setupSecurityContext = “False”). Я уже работаю на https. Так будет ли я в порядке с точки зрения безопасности? И есть ли другие последствия для рассмотрения (возможно, производительность)?

благодаря

Разница в том, что на не-SCT (токен контекста безопасности) включена конечная точка, обмен ключами и валидация должны выполняться для каждого вызова, а не для однократного и кэшированного для сеанса, и вместо этого в сообщениях передаются только SCT. SCT основаны на симметричном ключе, что делает их намного более эффективными для подписания / шифрования сообщения. Использование SCT очень хорошо, когда клиент, как ожидается, сделает много звонков подряд, потому что он уменьшает необходимость каждый раз делать обмен и валидацию одного ключа.

Я бы рекомендовал, чтобы вы просто открыли другую конечную точку для клиентов, которые не поддерживают SCT, и попросите их использовать это. Клиенты, которые могут использовать SCT, которые вы храните, указывают на конечную точку по умолчанию и сохраняют все преимущества, которые приходят с ней.

Подробнее о теме см. В разделе 3 документации WS-SecureConversation .

  • Хостинг IIS WCF и служба Windows
  • Вопрос конфигурации конфигурации WCF в отношении
  • Expose IQueryable Over WCF Service
  • Используете ли вы типы enums в своих веб-службах WCF?
  • Декомпрессия streamа GZip из ответа HTTPClient
  • Зачем повторно инициировать DbContext при использовании Entity Framework?
  • Ведение журнала исключений для служб WCF с использованием ELMAH
  • Как использовать сокет-клиент с WCF (net.tcp)?
  • Почему мой веб-сервис WCF представляет этот объект в другом пространстве имен с разными именами полей?
  • Тип содержимого text / html; charset = UTF-8 ответного сообщения не соответствует типу содержимого привязки (text / xml; charset = utf-8)
  • Ошибка в клиенте WCF, использующем веб-службу Axis 2 с WS-Security. Имя пользователя: Token PasswordDigest.
  • Давайте будем гением компьютера.