我正在使用 NTLM 安全性构建一个简单的 WCF 服务,可能通过 HTTPS 公开。由于并非所有用户都能够直接使用该服务,因此我们正在为该服务编写一个简单的 Web 前端。用户将使用 HTML 对 Web 前端进行身份验证。
我们想要的是一种将网站用户一直委托给 WCF 服务的方法。我知道 Kerberos 委托可以做到这一点,但我们无法做到这一点。
我想要做的是将Web前端帐户设置为一个特别受信任的帐户,这样如果请求命中认证为“DOMAIN\WebApp”的WCF服务,我们会读取包含真实身份的WCF消息头,然后切换主体到那个并继续正常。
有没有“简单”的方法来实现这一目标?我应该完全放弃这个想法,而是让用户“登录”到 WCF 应用程序,然后完成自定义身份验证吗?
WCF 的可扩展性和安全性选项似乎如此庞大,我想知道从哪条路径开始向下走。
编辑:可以肯定的是,我只希望 WindowsIdentity 进行组成员身份检查。我不需要完整的模拟令牌,只需要一个身份令牌。