我想知道客户端应用程序(winforms/console/其他)中关于使用 WCF 授权和身份验证的 WCF 的最佳实践是什么(以前称为日内瓦)。
同样在服务级别,是否可以缓存令牌,以便每次 WCF 操作都不需要访问 STS?(有关此的更多信息也很重要)谢谢
问问题
683 次
2 回答
1
每次都需要发送令牌,就像每次都需要向使用用户名和密码保护的 Web 服务发送用户名和密码一样。仅仅因为您使用的是 SAML 令牌并不会改变这一点。
但是,您可以在客户端缓存令牌 - 每个令牌都有一个有效的 from 和 valid to 与之关联,因此,如果 Web 服务没有通过断言 ID 检查每个令牌的唯一性,那么您可以缓存在客户端上。然而,一个编写良好的 Web 服务很可能会检查断言 ID 以阻止中继攻击。
于 2009-12-09T11:26:34.410 回答
-1
使用 SAML 并不意味着您可以侥幸传递令牌,只是它不是签名的一部分是隐式有效负载,并且可以在同一企业的不同应用程序之间建立共同信任。因此,您实际上可以避免使用信任维护。就缓存而言,您可以尝试使用速度。
于 2009-12-09T11:32:12.760 回答