#wcf #security #wcf-security #saml #ws-federation
#wcf #Безопасность #wcf-безопасность #saml #ws-федерация
Вопрос:
Я написал клиент WCF, который использует wsfederationhttpbinding для аутентификации в STS и RPS. Недавно я заметил (используя Fiddler), что ответ, полученный от STS, включает в себя SymmetricKey для токена подтверждения (как я настроил запрос клиента), но что токен подтверждения не зашифрован.
Несколько вопросов по этому поводу:
- Насколько я понимаю, если токен доказательства не зашифрован, в этом нет смысла (например, не делает ничего лишнего, чтобы предотвратить атаку «Человек посередине»)
- Как мне запросить STS для шифрования токена подтверждения?
- Могу ли я предоставить открытый ключ в моем RST в STS, чтобы он зашифровал токен подтверждения?
- Если да, то как мне настроить мой клиент WCF для этого?
Заранее спасибо…