具有混合客户端的 WCF 授权令牌

Question

我正在为应用程序开发一些 WCF 服务，这些服务不仅由我们的 Web 应用程序使用，而且还可以从我们的客户内部应用程序使用。由于我们不知道客户端内部应用程序可能处于什么环境，因此我们将采用最小公分母路线。

我们将有一个身份验证服务，它将返回一个令牌，并且该令牌将作为每个方法调用的第一个参数传递。我的问题是，我想要一种干净的方法来检查令牌，而不必将对令牌检查逻辑的调用作为每个服务方法中的第一行代码。

我研究了在 BeforeCall 方法中实现参数检查器，这在我的第一个概念证明中效果很好，但我不喜欢的是必须抛出异常来让消费者知道令牌无效。我的所有方法都将返回一个至少具有 2 个基本属性的结果 - 成功和错误消息列表。我很乐意将 inavlid 令牌信息作为结果的错误消息之一返回，因为对我来说，无效令牌不是例外，它是一种验证，但我没有看到一种干净的方法来透明地完成此操作。

我几乎去寻找参数检查器的 AfterCall 方法的返回值，但这允许该方法执行。

所以我认为我有两个选择 - 1 - 将令牌检查调用作为每个方法的第一行，这将填充我的返回结果对象 2 - 在参数检查器中抛出异常，这实际上并没有那么糟糕。

有没有人找到一个好方法来做到这一点？

谢谢， 保罗

Answer 1

我真的认为你应该重新考虑这种方法。每个堆栈都理解肥皂头，即使人们自己构建 XML 字符串。只要不要做任何像消息安全这样的事情，就互操作而言，你应该没问题。

如果您仍然想走这条路，您可能只需编写一个自定义 IParameterInspector 您可以使用行为将其附加到服务。然后只需重写 BeforeCall 方法并检查那里的令牌即可。