WCF 身份验证/授权 - 需要帮助

Question

我需要有关如何正确设置身份验证/授权的 WCF 帮助。我想尽可能多地使用开箱即用的东西来完成这项工作。

我正在设置 WCF 4.0 应用程序服务，并且我会将 4.0 Web 和 4.0 silverlight 客户端连接到同一服务。我希望客户端在服务上调用身份验证方法（它将根据数据库验证用户名/密码），然后将令牌返回给客户端。然后，客户端将存储此令牌并在每次后续服务调用时（透明地）发送它。在服务上，每次调用都会验证此令牌。另外，我需要在每次操作调用期间使用 UserID 进行一些安全检查（服务器端），因此可能需要将其包含在令牌中。

我想获得一些客户端/服务器示例来说明如何实现此目的！谢谢！

Answer 1

我最终使用了自定义安全令牌服务。我的客户端调用 STS，进行身份验证并取回存储的令牌。然后，我使用消息检查器将令牌插入到每个传出的 wcf 服务调用中，并使用服务器端的消息检查器通过验证令牌来拦截和验证每个调用。这非常有效。

Answer 2

您可以使用 WSHttpBinding 编写自定义用户名密码验证器。这将使您能够验证用户名密码。但是，一旦身份验证发生，您就无法将数据添加到共享的令牌中。

这是一个会话绑定，这意味着客户端在服务器上有一些关联的状态。 （这不利于中间有负载均衡器的横向扩展方案，因为如果请求发送到另一台服务器，您可能必须重新建立身份验证）

http://www.pnpguidance.net/post/WCF35SecurityGuidelinesNowAvailable.aspx

授权部分是棘手的部分，因为您可以声明性地指定主体权限，也可以使用命令式选项。
http://msdn.microsoft.com/en-us/library/ff647503 .aspx#AuthorizationOptionsWCF