将 Identity Foundation 与 WCF Web Api 结合使用

Question

我有很多网站的设置相同，都使用 WIF 身份提供商。我最近将业务逻辑从 Web 应用程序移至 Web Api 服务应用程序中。它在与其他站点不同的虚拟目录中运行。这个想法是浏览器将数据放入 AJAXy 页面中。

我遇到的问题是保护 Web API。看起来 WIF 单点登录在传统网站上工作得很好。用户可以访问一个网站，重定向到身份提供商，登录并重定向回他们想要的网站。当他们访问另一个站点时，他们也会被重定向回身份提供商，但不需要登录，因为存在 FEDAUTH cookie，因此他们会自动获得身份验证并重定向到第二个站点。

这不适用于 Web Api 场景，因为当浏览器可能对其进行 GET 时，Api 会在需要 JSON 时返回到调用 JavaScript 的重定向。

是否有可能使用 WIF 来保护 Web Api 的安全？

Answer 1

不确定我是否理解正确，但似乎主要问题是 javascript/ajax 不支持 http 重定向。
一种可能的解决方案是使用 ajax 中的一系列单独调用来模拟重定向：

1. 检查您是否在 Web api 站点上进行了身份验证（通过虚拟 ajax 调用）。

如果不是这种情况：

1. 通过 ajax 调用您的 sts 并从“wresult”表单字段中获取安全令牌。
2. 调用 Web API 站点上的登录站点并将安全令牌作为“wresult”数据传递。

多米尼克·拜尔 (Dominick Bayer) 撰写了几篇有关确保休息服务安全的博客文章。如需进一步阅读，请访问 http://www.leastprivilege.com/。 （特别是 http:// leastprivilege.com/2009/09/11/adding-a-rest-endpoint-to-a-wif-token-service/ 和
http:// leastprivilege.com/2010/05/05/thinktecture-identitymodel-wif-support-for-wcf-rest-services-and-odata/）。

TechDays 上的以下演示可能也很有趣：http://www.microsoft.com/showcase/sv/se/details/ffc61019-9756-4175-adf4-7bdbc6dee400（大约 30 分钟开始）。