Kapitel 10. Sicherheit

Bei der sicheren Interaktion zwischen einem Client und einem Dienst gibt es mehrere Aspekte zu beachten. Wie bei traditionellen Client/Server- und komponentenorientierten Anwendungen muss der Dienst seine Anrufer authentifizieren und oft auch autorisieren, bevor er sensible Vorgänge ausführt. Unabhängig von der Technologie müssen bei der Absicherung eines Dienstes (und seiner Clients) wie in jedem verteilten System auch die Nachrichten auf dem Weg vom Client zum Dienst gesichert werden. Sobald die Nachrichten sicher ankommen und authentifiziert und autorisiert sind, hat der Dienst eine Reihe von Optionen bezüglich der Identität, die er zur Ausführung der Operation verwendet. In diesem Kapitel geht es um diese klassischen Sicherheitsaspekte - Authentifizierung, Autorisierung, Übertragungssicherheit und Identitätsmanagement - sowie um etwas Abstrakteres, das ich nenne: dieallgemeine Sicherheitspolitik, d.h. deine persönliche Herangehensweise und die Einstellung deines Unternehmens (oder deines Kunden) zum Thema Sicherheit. Dieses Kapitel beginnt mit einer Definition der verschiedenen Sicherheitsaspekte im Zusammenhang mit WCF und den Optionen, die Entwicklern zur Verfügung stehen, wenn es um die Nutzung von WCF und .NET-Sicherheit geht. Dann wird erklärt, wie man die kanonischen und die vorherrschenden Anwendungstypen absichert. ...