我目前有一个通过WCF公开的服务层。服务层包括要使用TCP协议在内部访问的专用端点,但还包括通过HTTP公开访问的某些服务的公共端点(API)。到目前为止一直这么好......我的问题是我不知道如何正确实现身份验证和授权。
问题1:如果我有一个使用asp.net身份进行身份验证(基于表单的身份验证)和授权的asp.net应用程序。是否可以自动将这些凭证传递给WCF服务,以便我可以对服务层内的每个服务执行基于角色的授权?如果这确实可行,有人可以提供一些示例代码或指出我正确的方向进一步阅读吗?如果不可能?有替代解决方案吗?
问题2:我需要两个独立的数据库吗?即一个包含所有用户,角色等的Web应用程序数据库,然后是包含应用程序所有业务数据的服务层的另一个数据库?