WCF WebHTTP身份验证

Question

我正在使用WCF WebHTTP服务。我创建了一堆服务，剩下的就是投入用户身份验证...

问题

• 与REST架构样式保持一致，我是否应该对用户数据库进行每个服务调用。如果是这样，我应该每次调用该服务并通过SSL使其安全时提供凭据和密码来进行身份验证。基本上，每个Webget/Webinvoke功能应包含用户凭据作为参数，我对每个调用进行身份验证。这是正确的吗？这似乎相当低效率。

• 使用会话密钥似乎是错误的，但是关于如何在WCF WebHTTP中使用会话的指针？

• 自从我与MySQL合作并创建了自己的注册/用户数据库以来，我没有使用ASP .NET会员资格（将很快研究）。我应该看吗？我可以与WCF WebHTTP服务一起使用WCF身份验证服务吗？

WCF WebHTTP服务中有关处理身份验证的任何文献都将非常有帮助。

非常感谢

Answer 1

您可以检查第8章 RESTFUL .NET 书 （亚马逊, Google书籍)

您将仅验证用户的第一个调用，任何后续调用都将使用身份验证的用户的上下文。有几种选择，如何使用SSL（TLS），例如始终或发送用户名/密码时。

我不确定确切的位置以及如何存储身份验证令牌（例如在会话或类似类型中）。

您无需使用ASP.NET会员资格提供商，实际上，您根本不使用任何会员提供商，只需使用其他身份验证模型即可。通常，每个服务只会有一个身份验证模型，就像您获得凭据一样，对它们进行检查，请与持续的存储进行检查，如果有效，则设置安全令牌，并且对于所有下一个呼叫的令牌都在有限的时间内使用。