在這個案例學習中,第三個問題很重要。數據只應該被一小部分人訪問,我們確實不想暴露一個任何可以訪問開發工具的人都能消費的Web服務。
大多數安全意識很強的組織會在自己托管的對外Web服務器和隔離區之間部署防火牆,但我也見過一些軟件系統,同樣是那些受保護的Web服務器隨後去訪問正常的企業局域網內部服務器上部署的未受保護的Web服務。假設我的筆記本電腦能連接到企業局域網,通常就沒有什麼能阻止我打開微軟Visual Studio之類的開發工具,定位到服務定義(比如一個WSDL,Web Services Description Language,Web服務描述語言文件),以不正當用途消費Web服務。在這種情況下,必須考慮數據服務的認證和授權,Silverlight客戶端也是如此。這需要對安全有全面的考慮。