简单理解WCF的安全

验证：
2个问题：一个是发送的人是谁，发送人如何证明自己的身份
二是服务端必须有个机制以验证发送者提交证据的合法性，并能根据验证的结果判断此证据是否可信。
还有一种情况就是客户端还要验证服务端，防钓鱼功能的有效手段。
比如一个在线商店网站，需要一个第三方的服务提供在线支付功能，它接收客户的敏感信息，比如信用卡号和密码，把支付结果告诉给网站的服务程序之前，就要对网站
的服务程序进行验证。

授权：授权是指决定哪些系统资源和操作允许经验证用户访问的过程。授权通常与用户的访问权限有关。

消息的完整性：它保证服务接收到的消息在传输过程中没有受到篡改。

消息的机密性：保证消息中的数据不公开或者私密性。主要是靠加密来进行，现在最安全的算法是非对称密钥的算法，如RSA.

传输安全和消息安全

传输安全，是建立在传输层的安全协议之上的。TLS(Transport Layer Sercurity)和SSL(Secure Sockets Layer)

在 WCF 中，两个可用于实现传输安全性的主要机制分别为：传输安全模式和消息安全模式。


传输安全模式使用传输级协议（如 HTTPS）获取传输安全性。传输模式的优点是可以被广泛采用、可用于多个平台以及计算较为简单。但是，它的缺点是只能保证点到点的消息安全。


另一方面，消息安全模式使用 WS-Security（和其他规范）实现传输安全性。因为消息安全性直接应用于 SOAP 消息并与应用程序数据一起包含在 SOAP 信封内，它的优点是独立于传输协议、可扩展性更强以及可确保端到端安全性（与点到点相对）；它的缺点是比传输安全性模式慢很多倍，因为它必须处理 SOAP 消息的 XML 特性。