为跨平台 WCF 服务选择什么身份验证?
-
02-07-2019 - |
题
您建议为以下服务使用哪种类型的身份验证:
- 以WCF的形式实现,并通过Varios Enpoints暴露(包括XML-RPC)
- 必须能够被各种跨平台客户端轻松使用
为什么?
我知道的选项有:
- IIS 托管的 WCF 的基于表单的身份验证(易于实现,但跨平台支持很糟糕,而且它不是 REST)
- 每次通话时发送纯文本用户名/密码(易于在任何平台上使用,但完全不安全)
- 使用基于票证的身份验证,当使用用户名和密码创建一个在一段时间内有效并随每个请求传递的票证时(可以由任何客户端轻松使用,但 API 模型绑定到这种类型的安全性)
谢谢你的时间!
解决方案 2
最后我选择了最简单的方法:Web 服务被实现为简单的无状态 SOAP 服务,其中用户名和密码随每个请求一起传递。
其他提示
既然您提到了 REST,我假设通过 HTTP,您可以查看 HTTP 摘要身份验证。
然而,请记住 XML-RPC 是 不是 安宁。如果您选择 WS/RPC,您可能需要了解 WS-Security。
不隶属于 StackOverflow