Каковы последствия установки installSecurityContext = «False», если я использую https?

Моя служба WFC использует wsHttpBinding, настроенную на:

Один из наших партнеров пытается использовать наши сервисы с помощью библиотеки java Metro. У них есть эта проблема. Для этого мне нужно установить installSecurityContext = “False”. Мы сделали быстрый тест, и он действительно работает, когда я устанавливаю его в false.

Каковы были бы последствия не использования безопасных сеансов (установив setupSecurityContext = “False”). Я уже работаю на https. Так будет ли я в порядке с точки зрения безопасности? И есть ли другие последствия для рассмотрения (возможно, производительность)?

благодаря

Разница в том, что на не-SCT (токен контекста безопасности) включена конечная точка, обмен ключами и валидация должны выполняться для каждого вызова, а не для однократного и кэшированного для сеанса, и вместо этого в сообщениях передаются только SCT. SCT основаны на симметричном ключе, что делает их намного более эффективными для подписания / шифрования сообщения. Использование SCT очень хорошо, когда клиент, как ожидается, сделает много звонков подряд, потому что он уменьшает необходимость каждый раз делать обмен и валидацию одного ключа.

Я бы рекомендовал, чтобы вы просто открыли другую конечную точку для клиентов, которые не поддерживают SCT, и попросите их использовать это. Клиенты, которые могут использовать SCT, которые вы храните, указывают на конечную точку по умолчанию и сохраняют все преимущества, которые приходят с ней.

Подробнее о теме см. В разделе 3 документации WS-SecureConversation .

  • Шаблон для вызова службы WCF с использованием async / wait
  • Веб-служба и служба WCF
  • WCF ResponseFormat для WebGet
  • Декомпрессия streamа GZip из ответа HTTPClient
  • Ссылка на dll не может быть добавлена
  • Создание веб-службы WCF с помощью запросов GET
  • Служба имеет нулевые приложения (неинфраструктурные) конечные точки
  • Использование пользовательской десериализации тела WCF без изменения десериализации шаблона URI
  • Имеются ли атрибуты DataContract для WCF
  • Как я могу использовать WCF только с базовыми атрибутами, SSL и базовой аутентификацией в IIS?
  • Справочник службы WCF генерирует свой собственный контрактный интерфейс, не будет повторно использовать мои
    • Interesting Posts

    В чем разница между $ @ и $ * в сценариях оболочки?

    Двунаправленная многозначная карта в Java

    Импорт android.support не может быть разрешен

    Как я могу заставить Outlook 2010/2013 всегда отвечать простым текстом?

    В Java собрано мусор пространства постоянного поколения?

    Простой SSH подключается к JSch

    Как передать java-код параметру из maven для тестирования

    Как преобразовать первичный ключ из целого в последовательный?

    Maven: ошибка при открытии zip-файла при запуске maven

    Что гарантируется относительно размера указателя функции?

    Как удалить строки между ListViews на Android?

    Перемещение фигуры Stick, опорных точек, анимации или чего-то еще …?

    Сократить число до двух знаков после запятой без округления

    Должен ли я включать в unsigned char перед вызовом toupper?

    Команда FFmpeg для преобразования MP3 в AAC
    Давайте будем гением компьютера.