Quali sono gli impatti dell'impostazione establishSecurityContext = "False" se utilizzo https?

Question

servizio My WFC utilizza wsHttpBinding configurato con:

<security mode="TransportWithMessageCredential"> 
    <message establishSecurityContext="True" clientCredentialType="UserName"/> 
    <transport clientCredentialType="None" proxyCredentialType="None"/> 
</security> 

Uno dei nostri partner sta cercando di richiamare i nostri servizi utilizzando la Java biblioteca metropolitana. Hanno il problema this. Devo impostare establishSecurityContext = "False" perché funzioni. Abbiamo fatto un test rapido e funziona davvero quando l'ho impostato su false.

Quale sarebbe l'impatto di non utilizzare sessioni sicure (impostando establishSecurityContext = "False"). Sto già lavorando su https. Quindi sarò OK in termini di sicurezza? E ci sono altri impatti da considerare (forse la performance)?

Grazie

Answer 1

La differenza è che il su un non-SCT (contesto di token di sicurezza) abilitata endpoint, scambio di chiavi e la convalida deve essere effettuata per ogni chiamata invece di essere fatto una volta e memorizzata nella cache per la sessione e solo una SCT ha trasmesso invece i messaggi. Gli SCT sono basati su una chiave simmetrica che li rende molto più efficienti per la firma/crittografia del messaggio. L'uso di un SCT è molto buono quando si prevede che il client effettui molte chiamate in successione perché allevia la necessità di eseguire lo scambio e la convalida di un tasto one off ogni volta.

Quello che vorrei raccomandare è di esporre un altro endpoint per i client che non supportano SCT e dire loro di usarlo. I client che possono utilizzare gli SCT continuano a puntare sull'endpoint predefinito e mantengono tutti i vantaggi che ne derivano.

Per ulteriori informazioni, consultare section three of the WS-SecureConversation documentation.