WCF 身份验证——对用户/通行证进行一次身份验证，然后再通过其他方式进行身份验证？

Question

基本上，我有以下场景和信息：

• 我们正在使用 HTTPS。
• 我们希望在用户首次登录时通过用户/密码对用户进行身份验证。
• 经过身份验证后，我希望将来对其他服务（不是登录服务）的任何调用都可以使用用户名和某种会话（以防密码更改）在会话中间）。
• 我想确保我的会话可以超时并以某种方式控制它们，如果用户尝试调用服务并且他们没有会话，他们会收到错误（因为他们尚未登录）。不确定是否有 WCF 内置方法可以通过这种方式进行会话，或者我是否必须使用数据库进行一些自定义操作。
• 我认为我们想要使用 WSHttpBinding （不是 BasicHttpBinding），对此有 90% 的把握。

我似乎不知道该怎么做。我经常会找到有关执行 client.ClientCredentials.UserName.UserName = username 和 client.ClientCredentials.UserName.Password = password 的客户端代码的信息。但是，这不起作用，因为我的服务器正在检查什么？我正在尝试获取该信息并根据用户/通行证数据库对其进行验证。我不打算使用 Windows 身份验证或类似的方式（因为我不关心谁登录到计算机，只关心谁登录到应用程序）。

Answer 1

您想要使用安全令牌服务 (STS) 进行身份验证并获取用于识别用户的安全令牌（可能是 SAML），然后将其传递给您的其他服务，他们只需使用身份信息来识别和授权因为他们相信STS已经预先验证了用户的身份。

这是一个需要讨论的大主题，因此我建议搜索 WCF STS 并执行进行更多研究，但这绝对是我建议的方向。如果您要构建自己的 STS 实现，我还建议您考虑使用 Windows Identity Foundation (WIF) 组件可减轻您的开发工作。

以下是下载链接WIF v1.0 这是本回答时的最新版本。