Windows Azure 上的 WCF 会话

Question

我们的应用架构如下： 1) WCF 服务充当外观层，位于服务、业务逻辑和数据访问层之上 2) 每个客户端，无论是 MVC/ASP.NET 还是任何其他类型的应用程序，都有一个 ClientTag，首先需要对其进行身份验证并颁发“访问令牌”。然后，客户端将这个令牌与每条消息一起传递到 Facade 层 3) 系统将托管在 Windows Azure 上

这可以通过 WCF 会话轻松实现，如下所示： 1）客户端发起对WCF的调用以获取令牌（客户端到WCF的会话已建立，因此每个后续通信都是同一“对话”的一部分） 2) WCF对ClientTag进行身份验证，颁发令牌，并将其存储为本地变量 3) 客户端将令牌存储在它自己的会话中，并通过每个请求

将其传递给 WCF 问题在于 Azure（由于其高可用性/负载平衡性质）不支持 WCF 会话。所以，问题是我们如何实现这一点。

一种解决方案是使用 AppFabric 缓存来模拟 WCF 层中的会话状态。我们将在那里存储访问令牌，然后根据客户端传入的内容对其进行验证。这样做的问题是客户端和 WCF 之间没有并发性。因此，我们必须在来自同一客户端的每个请求上提前 WCF 会话超时，但我们希望避免在每个请求上更新缓存（可能是数百/秒）。

有什么建议吗？有没有人在 Azure 上实现过类似的东西。任何反馈将不胜感激。

PS 这不仅是在服务器上发生的身份验证，而且还为每个客户端进行自定义授权。 （某些客户端可能可以访问某些功能，而其他客户端可能无法访问）。

谢谢！

Answer 1

我正在实施与此直接类似的东西，但使用 OAuth 2.0 作为通过 ACS 的身份验证架构。

我所关注的模型是从此处的 MSDN 示例中无耻地窃取复制而来的：https://connect.microsoft.com/site116​​8/Downloads/DownloadDetails.aspx?DownloadID=35417。这假设客户端具有用户界面，因此用户可以直接或通过某些第三方身份提供商提供某种用户名和密码。

这种方法的优点是 WCF 层不需要使用任何类型的会话状态，因此无需对机器密钥或其他内容进行繁琐的处理。不过，您仍然会得到可以映射到 IPrincipal 的内容，因此，如果您愿意，您可以创建自定义 RoleProvider 并以通常的方式使用声明性角色。

请注意，该示例使用老式 ASP.NET，并且依赖于不透明（并且可能有很多错误）程序集 Microsoft.IdentityModel.Protocols.Oauth。而且，除非我遗漏了什么，否则我还没有在其他地方看到过这个版本（例如作为 Windows Identity Foundation 的一部分），所以我怀疑它相当新。

另一种方法可能再次是使用 ACS，这次是对 SAML 令牌进行身份验证，同样遵循 OAuth 2.0 协议。详细信息和示例代码位于：http://msdn.microsoft.com/ en-us/library/windowsazure/hh127795.aspx。这可能更适合没有 UI 的系统。