wcf - ¿Cuáles son los impactos de establecer establishSecurityContext="False" si uso https?
java-metro-framework (1)
Mi servicio WFC usa wsHttpBinding configurado con:
<security mode="TransportWithMessageCredential">
<message establishSecurityContext="True" clientCredentialType="UserName"/>
<transport clientCredentialType="None" proxyCredentialType="None"/>
</security>
Uno de nuestros socios está intentando invocar nuestros servicios utilizando java the Metro library. Ellos tienen this problema. Tengo que establecer establishSecurityContext = "False" para que esto funcione. Hicimos una prueba rápida y funciona de hecho cuando lo configuré en falso.
¿Cuáles serían los impactos de no usar sesiones seguras (estableciendo establishSecurityContext = "False")? Ya estoy corriendo en https. Entonces, ¿estaré bien en términos de seguridad? ¿Y hay otros impactos a considerar (quizás el rendimiento)?
Gracias
La diferencia es que el punto extremo habilitado sin SCT (token de contexto de seguridad), el intercambio de claves y la validación deben realizarse por llamada en lugar de hacerse una vez y guardarse en caché para la sesión y solo una SCT pasada en los mensajes. Las SCT se basan en una clave simétrica que las hace mucho más eficientes para firmar / encriptar el mensaje. El uso de un SCT es muy bueno cuando se espera que el cliente haga muchas llamadas en sucesión porque alivia la necesidad de realizar el intercambio y la validación de una clave única cada vez.
Lo que recomendaría es que exponga otro endpoint para clientes que no admitan SCT y les diga que lo usen. Los clientes que pueden usar SCT siguen apuntando al punto final predeterminado y conservan todos los beneficios que lo acompañan.
Para obtener más información sobre el tema, consulte la sección tres de la documentación de WS-SecureConversation .