在C＃

Question

我正在开发一个项目，我们有不同类型的客户端（winform App，ASP.net mvc，WCF服务）。

我需要在其中实现安全性。这是我的计划......

1. 将有一项服务（计划创建为WebApi）对用户进行身份验证。

2. 客户端应用程序会将Windows身份传递给此身份验证服务。

3. 服务会将身份验证令牌返回给用户。
4. 此令牌将在每次调用时传递给WCF服务。
5. WCF服务将使用身份验证服务验证此令牌。

6. 如果用户具有正确的权限，则WCF将执行请求的操作。

7. 如果令牌过期，则WCF服务将使用Auth服务续订令牌。

我计划为每个WCF调用使用基于属性的编程安全性。

我在线浏览了很多文章，但可以解决它。

任何人都可以指点我在下面找到的文章......

1. 根据Windows身份生成令牌。
2. 如何为每次通话将令牌传递给WCF服务。

提前致谢。

Answer 1

我建议使用访问令牌进行身份验证，使用 refreshtoken 来获取续订的访问令牌。您可以将refreshtokens存储在数据库中。如果您的方案需要为每个用户多个客户端/设备，那么您将需要存储唯一的deviceId和refreshtoken 。有用的Access Token和RefreshToken链接：

Token Based Authentication using ASP.NET Web API 2, Owin, and Identity

Enable OAuth Refresh Tokens in AngularJS App using ASP .NET Web API 2, and Owin