如何使用 ServiceStack.Net 实现客户端身份验证

Question

我正在使用 servicestack.net 库开发 Web 服务。

在我的场景中，将从 WPF 应用程序调用 Web 服务。我需要能够验证只有经过批准的客户端应用程序才能调用我的服务。

这与在客户端应用程序中硬编码“用户名”和“密码”一样简单吗？这显然不是正确的方法。有更好的办法吗？

编辑 此外，在客户端，用户自己将能够使用用户名/密码登录并向服务发起请求（不确定这是否会产生任何影响，所以我想我会提到它），

Answer 1

有关 ServiceStack 中身份验证的更多背景信息请参阅此问题< /a>.

通常，您会验证用户而不是客户端，而您似乎还在这样做。但是，如果您尝试锁定服务，以便只能通过一组特定的客户端访问它们，您应该考虑在客户端和服务器中使用一些 PKI。

基本上是这样的：客户端在登录时发送一个附加令牌，其中包含用户的加密版本：密码以及嵌入在应用程序中的私钥。服务器拥有客户端公钥，因此将在登录时执行额外的验证步骤以解密 user:pass 令牌并将其与经过验证的用户凭据进行比较。

如果 PKI 解决方案太繁重，则不使用加密的替代策略可能是为客户端提供一个秘密 Guid，当他们登录时，它将发送 Guid 的 MD5 哈希版本和当前时间，以及未哈希版本的 Guid。时间。如果时间在指定阈值内并且 MD5 哈希有效，则他们使用经过身份验证的客户端。