WCF：Web服务登录/身份验证：HowTo？

Question

我们有一个Web服务（C＃中的WCF），直到现在，它已经在内部网上使用过。展望未来，我们希望向互联网开放。
显然我们担心淘气的人不能访问接口。在WCF中确保这一点的最佳实践方法是什么？它是WSS吗？
我假设某种登录界面和客户端必须使用每个调用返回的令牌？

Answer 1

你已经基本上六个选项：

• Windows帐户 - 大内网，在互联网的情况没有那么大（内置，仅配置）对ASP

• 用户名/密码.NET会员系统：您仍然需要保留有效用户的数据库;取决于你想要做什么，这可能适用于你（内置，仅配置 - 你需要跟踪你的用户群）

• 客户端机器上的证书调用：只有那些有权利的机器证书被允许进入;对于一个封闭的用户群来说很好，在一般的面向互联网的场景中并不是那么好（内置，仅配置）

• 某种必需的头文件 - 检查数据库（例如“有效头文件令牌”），只是通过例如检查计算校验和或任何知道你的“秘密”头的人都可以调用（内置，需要一点点编码来提取和检查头）

• 一些自定义解决方案 - 你可以定义您自己的身份验证/授权方案，并根据您的喜好进行自定义;需要在你身边的一些代码 - 但给你最大的灵活性（自定义代码一路）

• 没有检查 - 只要把它开放给任何人（内置，仅配置）

WCF guru extraordinaire，Juval Lowy，在MSDN杂志上有一篇很棒的文章：Declarative WCF Security - 也许这可以给你一些额外的提示和指针。他基本上定义了五种情况，并讨论了他为每种情况推荐的解决方案（并且将这些东西烘焙成现成的基于属性的声明性框架）

Answer 2

您应该检查Windows Identity Foundation（WIF）。通过WIF，您可以构建一个安全令牌服务来处理认证部分，这样您的WCF服务只需处理授权。这是一个相当大的话题，所以我建议你看一下whitepapers并决定是否要使用它，然后再回来问一些更具体的问题。