没有SSL的WCF身份验证

Question

有没有办法设置身份验证(ala"基本身份验证")而不实际设置SSL证书？我还想在REST或常规SOAP WCF服务中执行此操作,最好是在REST中,但希望能够混合使用这些服务.换句话说,"我希望能够发送常规的旧用户名和密码,就像在基本身份验证中但没有SSL一样." 有没有办法做到这一点？

Answer 1

使用TransportCredentialOnly安全模式.这篇文章解释了如何做到这一点:

不要忘记您还必须在IIS中启用基本身份验证.

只是关于TransportCredentialOnly的注释:TransportCredentialOnly安全模式选项传递用户凭据而不加密或签名消息.请谨慎使用此模式,因为它不会保护正在传输的凭据,并且必须通过其他方式保护,例如Internet协议安全性(IPSec).[来自http://msdn.microsoft.com/en-us/library/ff648505.aspx] (4认同)