шифрование стороны обслуживания, дешифрование на клиенте (ЭОС)

Question

Я надеюсь, что это достаточно ясно:

У меня есть служба проверки подлинности, который запрашивает мою базу данных САШ поставщика роли. Служба проверки подлинности передает детали роли обратно клиенту внутри объекта User. Используя эту роль, я запрашиваю у моего web.config значения, которые пользователь видит.

Группа безопасности провела проверку, и они могут видеть свойство Роли объекта User. Они перехватывают этот ответ, обманывают его ролью «администратор» и запрашивают мою веб-конфигурацию.

Я ищу AES для шифрования в сервисе, дешифрования на клиенте, но я выполняю роль расшифровки только для чтения в объекте User.

Есть ли у кого-нибудь лучшие идеи, предложения?

Спасибо, Майк

Answer 1

Если вы хотите, чтобы избежать подмены, вы могли бы подписать ответ вы посылаете и есть то, что получает сообщение с ролью проверки подписи. Обычно это делается с использованием криптографии с открытым ключом (часто с сертификатами X.509).

В общем случае вы рассмотрели использование существующей инфраструктуры для этого, например Kerberos/ActiveDirectory?