我正在使用WCF Webhttp服务。我创建了一堆服务,剩下的就是进行用户身份验证......
问题
保持其余的架构风格,我应该针对用户db验证每个服务调用。 如果是这样,我应该通过每次调用服务时提供凭据和密码来进行身份验证,并使用SSL使其安全。基本上,每个webget / webinvoke函数都应包含用户凭据作为参数,并对每个调用进行身份验证。这是正确的吗?这看起来效率很低。
使用会话密钥似乎有点错误,但有关如何在WCF Webhttp中使用Session的任何指示?
我没有使用ASP .net成员资格(很快会调查),因为我正在使用Mysql并创建了自己的注册/用户数据库。我应该看那个吗?我可以使用wcf身份验证服务和wcf webhttp服务吗?
任何有关在WCF webhttp服务中处理身份验证的文献都会非常有用。
非常感谢
答案 0 :(得分:0)
您可以查看 RESTful .NET 图书的第8章(Amazon,Google books)
您将仅对来自用户的第一个呼叫进行身份验证,任何后续呼叫都将使用经过身份验证的用户的上下文。有多种选择可以使用SSL(TLS),例如总是或者只是在您发送用户名/密码时。
我不确定您在何处以及如何存储身份验证令牌(如会话或类似类型)。
您不需要使用ASP.NET成员资格提供程序,实际上您可能根本不使用任何成员资格提供程序,只需使用其他身份验证模型。通常,每个服务只有一个身份验证模型,例如您获取凭据,针对持久存储进行检查,如果有效则设置安全令牌,并且该令牌将在有限的时间内用于所有下一次调用。