开发环境:Windows 7 Enterprise with .NET 4.0 with Visual Studio 2010
生产环境:Windows 2008 Server 和 IIS 7.0
我正在尝试找出对 WCF 服务进行身份验证和授权的最佳方法,该服务在与 ASP .NET Web 应用程序不同的安全区域中的不同机器上运行。
用户根据我们存储在数据库中的凭据使用用户名和密码登录。我们没有实现 Membership Provider,但是当用户的凭据通过 mustard 时,我们手动创建一个带有用户 ID 的 Forms Auth 票证。
我确实推出了自己的实现 RoleProvider 的角色提供者。因此,我们拥有“标准”ASP .NET 角色以及在我们的 ASP .NET Web 应用程序上工作的表单身份验证票。
我需要做的是以某种方式将这些凭据传递给位于另一台机器上的 WCF 服务。最初,我想我可能会使用 Windows Identity Foundation 并创建自定义安全令牌服务 (STS)。基本上,如果用户进行身份验证,则创建一个令牌并将基于声明的授权与用户身份一起添加到令牌中,并将其传递给 WCF 服务。
我们目前正在使用根本不进行身份验证或授权的 .NET Remoting 服务(.NET 1.1 时间范围)。
这似乎有点矫枉过正,因为可能有一种方法可以简单地传递我目前与用户拥有的信息,因为当您创建 Forms Auth 票证时,我知道当前的 IPrinciple 设置为 IIdentity 设置为“名称”属性设置为 Thread.CurrentIdentity 上的用户 ID。
我很确定 IsInRole("WhateverRole") 在这一点上也能正常工作,但所有这些都在 Web 应用程序端。没有任何东西被传递给 .NET Remoting 服务。
查看这两个类:
AuthenticationService 类
ServiceAuthorization 类
我不认为它们是我想要的。同样,我已经阅读了 Michele Bustamante 的Learning WCF,但我并没有真正看到这个特定的场景。当我阅读Windows Authentication时,我一直认为需要将其绑定到与内部 Windows 安全情况相关的一些内部 NTLM 或 Kerberos。我们的用户都不是内部用户。它们是严格外部的。
现在,我知道如果用户获得了 Forms Auth 票证,他们基本上获得了有效的 IPrinciple,并且应该设置角色,对吗?
如果是这样,有没有办法将它传递给另一台机器上的 WCF 服务设置?如果我将 WCF clientCredentialType 设置为 windows 并将 serviceAuthorization principalPermissionMode 设置为“UseAspNetRoles”,当我进行服务调用时,这些是否会在安全上下文中从 Web 应用程序传递到 WCF 服务?
我找不到任何关于这可能发生的情况。谢谢。