WCF WebHttp身份验证

Question

4

我正在使用WCF Webhttp服务。我创建了一堆服务，现在唯一需要做的就是进行用户认证...

问题：

按照REST架构风格，我应该对每个服务调用进行用户数据库认证吗？如果是这样，我只需在每次调用服务时提供凭据和密码进行身份验证，并使用SSL保护其安全性。基本上，每个webget/webinvoke函数都应包含用户凭据作为参数，我会对每个调用进行身份验证。这样做是否正确？这似乎相当低效。
以某种方式使用会话密钥似乎是错误的，但有没有关于如何在WCF Webhttp中使用会话的指针？
我并没有使用ASP .net成员资格（很快就会研究），因为我正在使用Mysql并拥有自己创建的注册/用户数据库。我应该看看那个吗？我可以使用wcf认证服务和wcf webhttp服务吗？

任何关于处理WCF Webhttp服务中身份验证的文献都将非常有帮助。

非常感谢

- user529265

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- oleksii · Answer 1

您可以查看《RESTful .NET》一书的第8章（亚马逊, 谷歌图书）来了解更多相关内容。

你只会认证用户的第一个调用，任何后续调用将使用经过身份验证的用户上下文。有几个选项可以使用 SSL（TLS），例如始终使用或仅在发送用户名/密码时使用。

我不确定您在哪里以及如何存储身份验证令牌（例如在会话中或类似类型中）。

您无需使用 ASP.NET 成员资格提供程序，实际上您可能根本不使用任何成员资格提供程序，只需使用其他身份验证模型。通常，每个服务只会有一个身份验证模型，例如获取凭据，将其与持久存储进行检查，如果有效，则设置安全令牌，并且该令牌将在有限的时间内用于所有下一个调用。