问题描述
这可能是一个非常简单的问题,但(我认为)解释起来很复杂,请耐心等待。
我们的服务器上有一个 WCF API(用 C# 编写),它附加到第三方 API(一种一站式的地方,如果你愿意的话)。它们混合使用 OAuth 和证书以确保安全。我们的想法是我们不必将(第三方)证书/安全性放在我们所有的服务器上,只需一个。
因此,计划是让一个服务器上的应用程序调用该服务器上调用第三方API的API。这似乎适用于除一个第三方之外的所有第三方。
如果我在我们的 API 上使用 Visual Studio (2017) 内置 WCF 测试客户端,它工作正常。如果我尝试从另一个应用程序使用我们的 API(通过添加服务引用)即使在同一台服务器上,它也会失败并显示上述消息。
我们的 API(尚未)使用 https。
该计划用于将我们的 API 发布给其他人,因此我们无法与他们共享任何证书/登录名 - 这是我们 API 的根本原因。
我已经做了很多关于这个的谷歌搜索,所有的答案似乎都指向证书必须在调用应用程序上,这似乎打败了我们“捕获所有”API的对象
我可能没有很好地解释这一点 - 抱歉。也许这个问题可以概括为“我如何阻止安全性被“传递”给调用应用程序?”
解决方法
似乎罪魁祸首是“我们的”API 在其下运行的应用程序池标识。我改变了它,现在一切都像我期望的那样工作:)