有没有办法在 WCF 中使用 Windows 身份验证和 webhttpbinding 来获取密码？

Question

我目前有一个自托管的 WCF REST 服务。使用 WebHttpBinding 和 Windows 身份验证，是否可以获取密码，还是必须使用基本身份验证？

Answer 1

您无法使用 Windows 身份验证获取用户密码 - 因为身份验证是通过第三方（通常是活动目录）完成的，客户端和服务之间不会交换密码，只会交换 AD 颁发的令牌。

能够使用 Windows 身份验证获取密码也会带来巨大的安全风险 - 在 Intranet 中，客户端（例如浏览器）在向需要此类身份验证的服务器进行身份验证时通常不会提示用户输入凭据。您不希望您的密码被移交给您碰巧访问的使用此类身份验证的服务。