WCF分布式开发步步为赢（14）:WCF安全编程--基本概念

WCF分布式开发步步为赢（14）:WCF安全编程--基本概念2011-06-17 博客园 Frank Xu LeiWCF安全机制是个非常复杂的问题，因为涉及的知识点较多，所以今天这个文章，会分析进行WCF安全开发应该了解的哪些知识点。如何查看资料。为了更好地理解WCF安全相关知识，我把WCF安全机制主要知识点整理为图表。本章以介绍 WCF安全机制的基础概念为主。

要学习WCF安全编程，你应该学习什么首先掌握什么基础知识？很多时候会因为缺乏系统的安全概念，在进行WCF安全编程开发的时候，遇到很多问题，比如所证书，这个概念相信很多初学者第一次接触的时候花费了很多时间。我当时在做WSE安全开发的时候就查阅了很多资料。那么哪些是WCF安全开发应该掌握的知识点呢？今天我们就在这里做详细的介绍：

Windows Communication Foundation （WCF）是一个基于 SOAP 消息的分布式编程平台，我们可以使用现有技术（如 HTTPS）、Windows 集成安全性或对用户进行身份验证的用户名和密码生成安全的分布式应用程序。WCF 基于现有安全性基础结构和 SOAP 消息的经验证的安全标准提供可互操作的安全消息交换通用平台。通过使用 WCF的安全机制，我们可以可以在Internet 范围内跨多个 Windows 域进行服务和客户端的数据交互。下面会一次介绍WCF安全相关的一些知识点：

【0】安全开发必备知识点：

（1）对称加密算法DES，也叫密钥算法。

（2）非对称加密算法，也叫公钥算法。使用一对密钥，配合使用。如RSA算法；

（3）哈希算法：MD5（Message Digest5消息摘要算法），SHA1，SHA256等概念。签名，也是在是哈希算法的应用。

（4）WS-Security安全规范。这个是重要的安全规范，从Web Service ， WSE3.0 到现在的WCF服务都提供了支持。

（5）证书。这个是非对称加密的一个应用。CA证书管理机构。如何创建证书和管理证书。等概念有所了解。

算法这里主要讨论的是如何应用，即如何进行加密、解密、消息签名等问题。你对这些概念了解以后才会更好的理解WCF安全。

其实早在《WSE3.0构建Web服务安全（4）》系列里已经详细讨论过这个问题。如果你看过这个系列的文章，这个些相关概念理解起来会容易许多。安全的相关知识点都有介绍，这个也是当初为什么花时间来学习WSE3.0的原因。你可以参考 WSE3.0构建Web服务安全（1）:WSE3.0安全机制与实例开发和WSE3.0构建Web服务安全（2）:非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理。后面的讨论又对文章进行了补充。几乎涵盖了所有的WCF安全需要的所有的基本知识点。

【1】WCF身份验证机制：

WCF与现有的Windows平台上的身份验证机制很好地结合以外，还支持WS- Security安全规范，以及用户定制扩展验证模式，安全令牌方式。如果你关注过 WSE3.0相关的技术文章，一定感觉不会陌生，这些安全机制在WSE3.0中已经完全支持。这些都是WCF声称继承WSE安全机制的最好证明。延续微软平台的的一贯做法。优秀模型的复用与扩展。关于安全的概念可以再参考WSE3.0构建Web服务安全（1）:WSE3.0安全机制与实例开发。WCF支持的身份验证机制可以参考下图：