Bonjour,
Je souhaiterais sécuriser un service WCF Rest et après plusieurs lectures, j'ai des doutes à lever ..
Pour sécuriser un Service WCF Rest, j'ai lu qu'on pouvait combiner :
- l'utilisation du mode de transport ssl (https)
- l'authentification du client vers le serveur (avec certificat client)
Mes questions :
A priori, on ne peut faire l'authentification du serveur vers le client (certificat de service) car d'après la doc sur WebHttpBinding
http://msdn.microsoft.com/fr-fr/libr...vs.110%29.aspx, il n'est pas possible de configurer
<security mode="message" />
(ce qui, sauf erreur de ma part, permet justement de mettre en place un certificat de service).
=> Pouvez-vous me confirmer svp?
b) le point a) n'est pas bloquant et je pourrai me contenter d'un certificat client. Ma 2e question est la suivante :
Si un client "inconnu" (sans certificat reconnu/"trusted" par le serveur), arrive contre mon gré à avoir une url de webmethod, tape dans son navigateur web l'url associée, par exemple :
https://wcfrestservice.com/GetProductList,
=> est-on sûr qu'il n'aura pas accès (le navigateur renvoie du genre un message d'erreur) ?
Le but étant de restreindre l'accès au service sur un périmètre d'utilisateursavec l'authentification par certificat.
Merci à vous
Partager