WCF 服务 API 的散列

Posted 2023-04-12

【中文标题】WCF 服务 API 的散列

【英文标题】：Hashing for WCF Service API

【发布时间】：2012-12-08 08:11:34

【问题描述】：

我们正准备通过一个 API 公开大量 WCF 服务，我们希望所有服务都具有共同的身份验证/授权。

我们正在考虑对每个请求都要求一个散列值（可能是用户名和密码），但我不确定这是否是最佳实践方式，甚至是正确的方式。此外，如果不是，那是什么？如果是，那么独立于语言的算法将能够支持哪种散列算法。我们的目标是不局限于任何特定的语言。

【问题讨论】：

我认为你正在混合加密和散列，如果你真的需要单独的安全散列不会这样做，你也需要加密，对称或非对称加密。如果您可以更具体一些，我可能会提供帮助。我们目前正在实施一个大型项目，我们使用 JWS（签名的 JWT）作为 HTTPS 协议的一部分，并使用 SOAP 作为主体。

【参考方案1】：

我的一家初创公司也遇到了同样的问题，我们进一步希望避免使用 SSL，因此我们决定加密所有流量并向我们的客户提供私钥。也就是说，我们发现跨平台加密是困难的。事实上，我们最终发现唯一合适的选择是一家名为 Chilkat (http://www.chilkatsoft.com/) 的公司。

在 Windows 和非 Windows 环境之间切换时，我们经历的其他选项都存在问题。 Chilkat 的效果要好得多，但请注意您使用的加密算法，并注意如果您想要 UTF-8 over ASCII，则需要更改它们的一些设置。

我们最终还通过提供要求提供公司名称、电子邮件地址和联系人姓名的服务来自动化私钥部分，然后我们使用这些服务自动生成用户级私钥并将其通过电子邮件发送给客户。然后，他们使用我们提供的 .NET 或 Java 库最终对其进行加密。