Laden...

WCF Benutzername und Passwort

Erstellt von mikefried vor 13 Jahren Letzter Beitrag vor 13 Jahren 1.248 Views
M
mikefried Themenstarter:in
198 Beiträge seit 2010
vor 13 Jahren
WCF Benutzername und Passwort

Hallo an Alle!

ich suche ein paar gute Hilfen in Netz, die mir als WCF Anfänger den Einstieg in die Authentifizierung und Autorisierung eines WCF Dienstes in Abhängigkeit eines Benutzernamens und dem Passwort erleichtern.

Ich habe schon viele Tutorials gelesen, es scheitert aber immer an dem Zertifikat.
Der Service soll auf einem IIS laufen. Der fertige Testservice ohne Authentifizierung läuft schon recht gut, nur müssen halt alle Funktionen noch eine Autorisierung erhalten.

Wie ich diese erreichen kann ist halt die große Frage?

Für Eure Tipps, schon mal vielen Dank im Voraus!

Gruß Mike

6.911 Beiträge seit 2009
vor 13 Jahren

Hallo,

ausführliche Informationen dazu bietet patterns & practices: WCF Security Guidance.

mfG Gü

Stellt fachliche Fragen bitte im Forum, damit von den Antworten alle profitieren. Daher beantworte ich solche Fragen nicht per PM.

"Alle sagten, das geht nicht! Dann kam einer, der wusste das nicht - und hat's gemacht!"

J
1.114 Beiträge seit 2007
vor 13 Jahren

Für wen soll der Service denn erreichbar sein. Internet oder nur intern. Wenn nur intern, kannst du nicht über Active Directory deine Anwender authentifizieren?

Falls Internet, so besteht der einzige sichere Weg über Zertifikate. Das zu implementieren ist in der Tat nicht trivial. Da hab ich mich ebenfalls schon einmal rangewagt und habs dann irgendwann aufgegeben.

M
mikefried Themenstarter:in
198 Beiträge seit 2010
vor 13 Jahren

Also es soll ein Dienst für das www werden, da komme ich wohl nicht um ein Zertifikat herrum?

J
1.114 Beiträge seit 2007
vor 13 Jahren

Hängt von ab. Aber um deine User 100% zu authentifizieren, und auch die gesamte kommunikation zu verschlüssen, bleibt dir wohl nur ein Zertifikat übrig.

Wenn die Kommunikation selbst jedoch nicht verschlüsselt zu sein muss, dann gibt es auch andere Möglichkeiten. Passwörter würde ich natürlich nicht im Klartext übermitteln, aber ich dachte da eher an eine Art TAN Liste für deine User, d.h. eine Liste mit Code (z.B. Guids) die nur innerhalb einer Session ihre Gültigkeit haben und danach verfallen... Nur mal so als Idee um dem Murks mit den Zertifikaten aus dem Weg zu gehen.

6.911 Beiträge seit 2009
vor 13 Jahren

Hallo,

schau dir am besten obigen Link (bzw. die PDFs darin) an, dort werden die Szenarien behandelt und die empfohlenen Vorgehensweisen dargelegt.

@Jelly: die Idee mit den TANn gefällt mir 😉

mfG Gü

Stellt fachliche Fragen bitte im Forum, damit von den Antworten alle profitieren. Daher beantworte ich solche Fragen nicht per PM.

"Alle sagten, das geht nicht! Dann kam einer, der wusste das nicht - und hat's gemacht!"

J
1.114 Beiträge seit 2007
vor 13 Jahren

Die TAN Idess ist gängig in gesicherten IT Systemen. Um sich einzuloggen, braucht man demnach 2 Dinge: Ein Login und Passwort (Wissen) und eine TAN Liste (Haben). Einzeln sind sie nicht zu gebrauchen. D.h. verliere ich meine Liste, kann ein Dritter damit alleine nichts anfangen. Erschnüffelt er mein Passwort (z.B. durch ein Hooktool o.ä.), fehlt ihm die TAN Liste. Das Prinzip des Wissens und Habens. Gänge Systeme, die genau diese Art an Sicherheit bieten sind z.B. Token geschützte VLAN Zugänge (siehe z.B. RSA, und Zertifikate im allgemeinen auch (Hier brauch ich al User mein Zertifikat (Haben) und mein Passwort um es zu nutzen (Wissen)).

Mit diesem Verfahren ist man alleine schon auf der sicheren Seite, dass sich kein Dritter als einen selbst ausgeben kann. Wenn ich mich in ein System einlogge mit meinem Login, Passwort und einmal gültigem TAN, so kann das Gegenüber schons sicher sein, dass es sich tatsächlich um mich handelt. Einzige Möglichkeit wäre den Datenstrom abzufangen, und gar nicht an den Server weiterzuleiten.

Deshalb sollte natürlich die gesamte Verbidnung idealerweise auch noch verschlüsselt sein. Das ist aber nicht in allen Anwendungsfällen überhaupt nötig.