WCFサービス - クライアントだけが使用できるように保護する方法

Question

私は、インターネット経由でWCFサービスとやり取りするクライアントプログラムを構築しています。すべてが意図どおりに機能しますが、クライアントプログラムだけがそのサービスを利用できるように、私のサービスをどのように保護することができますか？

私のサービスへの正しいURLを持つすべての人は、WCFTestClient（たとえば）でそれを使用できます。

私のクライアントだけがサービスを利用できるように、それを非公開にする最良の方法は何ですか？トークン文字列を回転しますか？証明書？パスワード？

私は考えておらず、インターネット上で有用なものは何も見つかりませんでした。

敬具

UPDATE：クライアント・プログラムは、公開（誰）のためにダウンロードすることを意図しています。したがって、それは内部使用のためではなく、公式の生産で提供されるサービスになります。

私の考えは、私のクライアントプログラムに証明書をバインドします（それが可能な場合でも？）。 WCFサービスが実行されているIISで、有効な証明書があるかどうかを確認します。それは可能ですか？そこにもっと良い解決策がありますか？

Answer 1

Protect .net Web Service URL

を、お役に立てば幸いですあなたからの最初のトークン、各要求は新しいトークンを返します。クライアントは常に最新のトークンをチェックします（私の意見ではこれ以上注意しています）。

更新 - クライアントのために有効なトークンを生成してサーバーをチェックする方法は、トークンをVAにすることができます蓋が1秒間隔であるので、人々が要求を受け取り、トークンを見つけたとしても、15秒または30秒後に有効にならないでしょう。

Answer 2

あなたがフォーム認証を使用している場合は、必要な

にAspNetCompatibilityRequirementsModeを可能にすることによって、FormAuthenticationクッキーをチェックするためにASP.NETを活用することができますまたはあなたのサービスは、すなわちスタンドアロンであるならば、あなたはOAuthの認証を使用することができます誰もが消費され、あなたはそれについてもっと読むことができますOauth Authentication

あなたができることは、すべての認証されたクライアントに共有される消費者秘密鍵があるということです。呼び出し元はこのキーを使用して情報に署名し、サーバーは同じキーを使用して署名して比較します。

は、それは、あまりにも悪いこと 、あなたは超慎重になりたい場合は、クライアントが取得したトークンシステムを実装することができますすることはできません他の回答とともに