为跨平台 WCF 服务选择什么身份验证？

Question

您建议该服务采用什么类型的身份验证：

• 作为 WCF 实现并通过以下方式公开 varios enpoints（包括 XML-RPC）
• 必须能够被各种跨平台客户端轻松使用，

为什么？

我知道的选项有：

• 基于表单的 IIS 托管 WCF 身份验证（易于实现，但跨平台支持很糟糕，而且它不是 REST）
• 每次调用时发送纯文本用户名/密码（易于实现 ）在任何平台上使用，但完全不安全）
• 使用基于票证的身份验证，当用户名和密码用于创建在一段时间内有效并随每个请求传递的票证时（可以被任何客户端轻松使用，但API模型与这种类型的安全性绑定）

感谢您的宝贵时间！

Answer 1

既然您提到了 REST，我假设通过 HTTP，您可以查看 HTTP 摘要身份验证。

但是，请记住 XML-RPC 不是 RESTful。 如果您选择 WS/RPC，您可能需要了解 WS-Security。

Answer 2

最后，我选择了最简单的方法：Web 服务被实现为简单的无状态 SOAP 服务，其中用户名和密码随每个请求一起传递。

产品页面