は、メッセージセキュリティを使用するWsHttpBindingのUserNamePasswordValidatorを使用した認証は安全ですか？

Question

基本的に私は、メッセージセキュリティを使用してWSHttpBindingを使用して、usernamepasswordバリデーターを持つWebアプリケーションとWcfサービスを持っています。サービスクライアントが検証されると、セッションにクライアントを格納して、サービス内の他のすべてのWebメソッドにアクセスします。

このアプローチが正しいかどうかは？セキュリティトークンサービスを使用する必要がありますか？

私を教えてください。

おかげ

Answer 1

これは、実行可能なアプローチと私たちは広範囲に使用するものであるが、それを使用するときは、細心の注意を払う必要があります。

私たちは常に、クライアントアプリケーションでパスワードを暗号化し、WCFサービスで復号化するか、HTTPSによる通信であってもパスワードストアを制御すると、以前の暗号化されたパスワードと比較します。