4

我正在使用 WCF Webhttp 服务。我已经创建了一堆服务,剩下的就是进行用户身份验证......

问题

  • 与其余架构风格保持一致,我是否应该针对用户 db 对每个服务调用进行身份验证。如果是这样,我应该通过在每次调用服务时提供凭据和密码来进行身份验证,并使用 SSL 使其安全。基本上,每个 webget/webinvoke 函数都应该包含用户凭据作为参数,并且我对每个调用进行身份验证。这是正确的吗?这似乎相当低效。

  • 以某种方式使用会话密钥似乎是错误的,但是关于如何在 WCF Webhttp 中使用 Session 的任何指针?

  • 我没有使用 ASP .net 成员资格(很快就会调查),因为我正在使用 Mysql 并创建了自己的注册/用户数据库。我应该看那个吗?我可以将 wcf 身份验证服务与 wcf webhttp 服务一起使用吗?

任何有关在 WCF webhttp 服务中处理身份验证的文献都会非常有帮助。

非常感谢

4

1 回答 1

0

您可以查看第 8 章RESTful .NET书籍(亚马逊谷歌书籍

您将仅对来自用户的第一次调用进行身份验证,任何后续调用都将使用经过身份验证的用户的上下文。您可以通过多种方式使用 SSL(TLS),例如始终发送或仅在发送用户名/密码时使用。

我不确定您存储身份验证令牌的确切位置和方式(例如在 Session 或类似类型中)。

您不需要使用 ASP.NET 成员资格提供程序,实际上您可能根本不使用任何成员资格提供程序,只需使用其他身份验证模型即可。通常,每个服务只有一个身份验证模型,例如您获取凭据,根据持久存储检查它们,如果有效,则设置安全令牌,并且该令牌在有限的时间内用于所有下一次调用。

于 2011-05-15T18:40:48.433 回答