在这个案例学习中,第三个问题很重要。数据只应该被一小部分人访问,我们确实不想暴露一个任何可以访问开发工具的人都能消费的Web服务。
大多数安全意识很强的组织会在自己托管的对外Web服务器和隔离区之间部署防火墙,但我也见过一些软件系统,同样是那些受保护的Web服务器随后去访问正常的企业局域网内部服务器上部署的未受保护的Web服务。假设我的笔记本电脑能连接到企业局域网,通常就没有什么能阻止我打开微软Visual Studio之类的开发工具,定位到服务定义(比如一个WSDL,Web Services Description Language,Web服务描述语言文件),以不正当用途消费Web服务。在这种情况下,必须考虑数据服务的认证和授权,Silverlight客户端也是如此。这需要对安全有全面的考虑。