我有一个客户端/服务器WCF应用程序,需要对数据库进行某种用户身份验证.该应用程序(客户端和服务器一起)正在开发出售给数十个客户,以便在其内部网上使用.我们并不太担心加密大部分移动数据,当然除了在身份验证期间.
考虑到WCF安全性,我不断回到我们应该使用x509证书的想法.但是,我们的客户肯定不想知道必须申请,购买和安装这些证书的任何细节.
首先,我想知道在这种情况下实现用户名/密码身份验证的首选方法是什么.如果需要使用证书,客户是否必须从受信任的CA申请自己的证书,或者我们作为软件提供商是否可以生成证书供客户使用?
我真的在寻找一种最佳实践,对客户的摩擦最小.
谢谢!
编辑: 我正在使用NetTcpBinding,我的服务器作为Windows服务运行.