简短背景:目前我的情况是我有一个服务(WCF),我不控制它的 WSDL/接口。当客户端调用“提交”时,用户传递凭证。然后,我想使用这些凭据对 ADFS 进行身份验证并接收加密声明。一旦我将这些声明作为 RequestSecurityTokenResponse 返回,我就有可用的 RequestSecurityTokenResponse.SecurityTokenXml(加密的 XmlElement)。似乎 RequestSecurityTokenResponse.SecurityToken 为空(也许只返回一个或另一个?)
注意:因为我不控制 WSDL,所以我不会强制用户进行身份验证以使用服务,而是使用他们通过请求发送的凭据进行身份验证。这意味着我在代码中而不是在 Config 中执行此操作。如果需要,我可以发布示例代码。
问题:
- 考虑到这种情况,这听起来像是一种合理的方法吗?
- 我将如何使用证书解密此 XmlElement?
- 我不应该加密令牌吗?