Fabry
2009-03-29 14:34:01 UTC
Ciao a tutti,
ho l'esigenza di riprogettare un'applicazione asp.net abbastanza corposa
in un'architettura SOA basata su WCF. Con l'evolvere del tempo
l'applicazione è cresciuta molto ed ora deve offrire una serie di
servizi e funzionalità proprie ad applicazioni terze.
L'esigenza in particolare è quella di rendere autenticato l'utilizzo
delle varie funzionalità che verranno esposte con lo strato di servizi
WCF. Mi rifaccio al classico modello che si vede su molte applicazioni
famose (da paypal a facebook) in cui l'utilizzo delle API (che all'atto
pratico sono web service) è profilato in vari modi che vanno dal
certificato digitale alla chiave crtiptata passando per i vali
user/password.
Mi sembra di aver capito che il modello di security di WCF già includa
questa metodologia con l'utilizzo della sicurezza basata sul messaggio.
Dato però che sto approfondendo l'argomento in questo periodo
(consultando msdn, libri, i più svariati blog oltre ai riferimenti vari
come codeplex etc..) volevo capire se l'idea che mi sono fatto è
corretta o se sto mal interpretando lo scopo del sistema di security di
wcf. In sintesi : è corretto utilizzare la security message
(eventualmente con uso ti token o username) per la necessità esposta?
Inoltre l'uso della security message mi impone sempre l'utilizzo di un
certificato digitale, è sicuramente corretto per l'ambiente di
produzione ma scomodo per lo sviluppo (ho creato il finto certificato
con makecert etc...), è proprio così o si può abbassare il livello di
sicurezza e farne a meno?
Tralascio le problematiche di interoperabilità tra sistemi diversi
perché credo di aver abbastanza chiara l'esigenza, almeno trasposta al
mio contesto.
Grazie
Fabrizio
ho l'esigenza di riprogettare un'applicazione asp.net abbastanza corposa
in un'architettura SOA basata su WCF. Con l'evolvere del tempo
l'applicazione è cresciuta molto ed ora deve offrire una serie di
servizi e funzionalità proprie ad applicazioni terze.
L'esigenza in particolare è quella di rendere autenticato l'utilizzo
delle varie funzionalità che verranno esposte con lo strato di servizi
WCF. Mi rifaccio al classico modello che si vede su molte applicazioni
famose (da paypal a facebook) in cui l'utilizzo delle API (che all'atto
pratico sono web service) è profilato in vari modi che vanno dal
certificato digitale alla chiave crtiptata passando per i vali
user/password.
Mi sembra di aver capito che il modello di security di WCF già includa
questa metodologia con l'utilizzo della sicurezza basata sul messaggio.
Dato però che sto approfondendo l'argomento in questo periodo
(consultando msdn, libri, i più svariati blog oltre ai riferimenti vari
come codeplex etc..) volevo capire se l'idea che mi sono fatto è
corretta o se sto mal interpretando lo scopo del sistema di security di
wcf. In sintesi : è corretto utilizzare la security message
(eventualmente con uso ti token o username) per la necessità esposta?
Inoltre l'uso della security message mi impone sempre l'utilizzo di un
certificato digitale, è sicuramente corretto per l'ambiente di
produzione ma scomodo per lo sviluppo (ho creato il finto certificato
con makecert etc...), è proprio così o si può abbassare il livello di
sicurezza e farne a meno?
Tralascio le problematiche di interoperabilità tra sistemi diversi
perché credo di aver abbastanza chiara l'esigenza, almeno trasposta al
mio contesto.
Grazie
Fabrizio