我应该如何使用 OpenID 从 Windows Phone 7 应用程序对 WCF 数据服务进行身份验证？

Question

我有一个 Windows Phone 应用程序，它正在从托管在 ASP.NET MVC 3 应用程序中的 WCF 数据服务服务读取和写入数据。

我可以根据需要配置客户端和服务器。如果可行的话，我想使用 OpenID，一旦用户在手机上进行身份验证，他们应该能够浏览与其 OpenID 关联的数据。

我应该如何配置客户端和服务器才能使其工作？

Answer 1

要在应用程序中使用 OpenID，您应该考虑使用连接到提供商站点（或可以重定向的站点）的嵌入式 WebBrowser 控件。当 OpenID 提供商返回您的站点（嵌入在浏览器控件中）时，您会将必要的标识符传递回应用程序。

有一个使用 Twitter 应用程序（使用 OAuth）执行此操作的示例，位于 http://blog.markarteaga.com/ OAuthWithSilverlightForWindowsPhone7.aspx

Answer 2

OpenID 是一个尴尬的选择。听起来用户已经拥有与其帐户关联的数据，这意味着用户必须在某个时间点登录服务器来设置此数据，然后使用相同的凭据登录应用程序才能访问此数据。问题在于安全地验证客户端应用程序确实已经对相关用户进行了身份验证。假设客户端应用程序（以某种方式）拥有用户的 OpenID 是不够的，因为服务器不能隐式信任客户端应用程序告诉它的内容。

我突然想到，OpenID 可以做的事情如下。

首先，在服务器上设置 OpenID 身份验证。然后，当客户端应用程序需要进行身份验证时，它应该使用 WebBrowser 控件指向服务器 URL，该服务器 URL 反过来又允许用户使用其 OpenID 提供程序进行身份验证，并将浏览器指向带有身份验证信息的服务器。此时，客户端应用程序不知道用户的身份验证状态，但服务器知道他们是谁。现在，服务器可以生成一次性身份验证密钥供客户端使用。它可以重定向到其中包含该密钥的特殊 URL，此时客户端会检测到该 URL，提取密钥，隐藏 WebBrowser 控件，并使用该密钥与服务器通信。我相信这将是进行此类身份验证的安全方法，但正如我所说，这只是我的想法。