通过默认 MembershipProvider 进行 WebService 身份验证
当您需要对特定 OperationContracts 进行身份验证,同时使用默认的 MembershipProvider 来保证安全性 (FormsAuthentication) 时,最佳实践是什么。
我想在使用 WebServices 时,执行 Membership.ValidateUser 和 Membership.GetUser 不会减少它,对吧?
换句话说:如何验证用户是否可以使用 Web 服务中的特定方法(用户是否已通过身份验证/“登录”)?
What is the best practice when you need to authenticate specific OperationContracts, while using the default MembershipProvider for security (FormsAuthentication).
I guess that doing Membership.ValidateUser and Membership.GetUser just won't cut it when using WebServices, right?
In other words: How can I verify that a user is allowed to use specific methods in the webservice (that the user is authenticated/"logged on")?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
是的——在这种情况下你不能真正使用
FormsAuthentication。但 WCF 中有出色的基础结构可用于管理对各个方法的基于角色的访问: http://msdn.microsoft.com/en-us/magazine/cc948343.aspxYeah--you can't really use
FormsAuthenticationin this case. But there is excellent infrastructure available in WCF for managing role-based access to individual methods: http://msdn.microsoft.com/en-us/magazine/cc948343.aspx众所周知,我对事物进行了过度设计,因此当我在 Web 应用程序中使用 WCF 时,我将该服务包装在我的 Web 应用程序中。这样我的网络应用程序就可以调用抽象。
现在,您可以做的就是在包装器上应用代码访问安全性 (CAS)。
示例代码可能如下所示(为简洁起见,省略了大量细节)
在完美的世界中,我们希望 CAS 更加干燥(不要重复自己),这意味着按照您的建议在 WCF 中进行处理。但是,如果知道您可以锁定 WCF 应用程序并控制谁调用它,这可能是一个很好的中间路线:-)
这将帮助您简化工作流程...
祝您好运!
I have been known to over-engineer things, so when I use WCF in my web applications, I wrap the service in my web app. This way my web app calls the abstraction.
Now, what you can do is apply your code access security (CAS) on the wrapper.
Example code might look like this (tons of details omitted for brevity)
In a perfect world, we would want CAS to be a bit more dry (don't repeat yourself), meaning handled in the WCF as you suggest. But this might be a good middle of the road if know you can lock down your WCF app and control who calls it :-)
That would help you simplify getting the ball rolling...
Good luck!