我有一个带有自定义表单身份验证实现的 .NET MVC Web 应用程序,它使用嵌入在 HttpCookie 中的 FormsAuthenticationTicket 来管理基于会话的安全性。
我们正在扩展系统,.NET MVC 服务器层现在将调用 WCF 服务的第二层(使用 HttpClient 调用使用 JSON 有效负载的 RESTFul 服务)。二级服务层可通过互联网访问,因此必须受到保护。
对我来说,保护第二层服务的最佳方式(也是最简单的方式)是什么,以便第一层服务器可以最轻松、最安全地访问它们。我可以简单地将包含 FormsAuthenticationTicket 的现有 HttpCookie 嵌入到对第二个服务器层的请求中吗?