WPF 应用程序中的 WCF 数据服务安全性

Question

我正在开发一个解决方案，其中我有一个 WPF 项目，该项目使用位于另一个 ASP .NET 项目中的 WCF DataService 来访问数据。
我需要提供一定程度的安全性，确保只有经过身份验证的用户才能访问该服务。上网冲浪后，我为了实现这一目标而伤透了脑筋。实施该方法的正确方法是什么？

Answer 1

我过去这样做过，WCF 的 Login 方法将创建一个用户对象，为该用户对象分配一个令牌（在我的例子中，它是一个 GUID），并将其内部存储在 WCF 服务器上AuthenticatedUsers 列表。

任何其他 WCF 调用都需要令牌作为参数。它将检查具有该令牌的 AuthenticatedUsers 列表中是否存在用户，如果不存在具有该令牌的用户，则会返回错误。另一个好处是我总是知道谁发出了 WCF 调用，而不需要他们传递用户 ID。

我还在服务器上存储了 LastActivity DateTime 和 User 对象。每个 WCF 调用都会刷新此值，并且提供 WCF 服务器上的 AuthenticatedUsers 列表至少有一个值，服务器上运行一个计时器来检查 AuthenticatedUsers 的 LastActivity 值如果用户处于非活动状态超过 20 分钟，则删除该用户。