Come funziona l'autenticazione con ASP.NET (utilizzando l'ID live e o Windows Autentication)

Question

Sono principalmente un programmatore di app desktop .NET. Arrivare nel mondo web è stato difficile. Sto cercando di convertire una delle mie app Silverlight in HTML. Ma sto facendo fatica a capire il sistema di autenticazione. Sto cercando di leggere sull'autenticazione ID live e sull'autenticazione di Windows, ma sto facendo fatica a mettermi tutto insieme nella mia testa. Forse puoi aiutare?

Il mio framework app

La mia applicazione client è una pagina HTML (o pagine) HTML (o pagine). E il server è una API REST WCF Data Services ospitata in ASP.NET. Il servizio funziona con un database SQL.

I problemi (basati su reclami)

Quando guardo qualcosa come l'autenticazione Live ID, è noto come autenticazione basata sulle rivendicazioni, giusto? Quindi, se lo avessi implementato correttamente, qualcuno viene sul sito Web, devo verificare che siano effettuati l'accesso. Come posso farlo da una pagina HTML dal lato client? Ho un timer ricorrente che convalida l'accesso ogni 30 secondi o qualcosa del genere? Oppure è fatto sul lato server su ogni chiamata al servizio?

So che se non hanno effettuato l'accesso, devo inviarli alla pagina di accesso in tempo reale, una volta effettuato l'accesso, la pagina live li reindirizzerà al mio server con il token di autorizzazione nella stringa di query (o qualcosa del genere) . A questo punto, però, cosa devo fare 5 minuti lungo la linea quando effettuano una chiamata al servizio Web per i dati? Quel token viene inviato ad ogni chiamata al server come? Come posso convalidarlo quando chiamano il servizio, in realtà loro? Devo avvolgere ogni chiamata di servizio in un metodo ConvalidateUser () o qualcosa del genere? Ho un ID utente nel database che dovrei abbinare in qualche modo con il suo token utente.

I problemi (autenticazione di Windows)

Il problema precedente esiste ancora qui. Come faccio a sapere che ogni chiamata del cliente è ancora loro? Inoltre, devo capire cosa devo fare dal lato HTML al lato server per autenticarli e quindi continuare l'autenticazione.

Conclusione

Non riesco davvero a trovare alcun tipo di spiegazione che spiega concettualmente tutte queste informazioni e mi dà il quadro generale di come funziona. Spero davvero che qualcuno qui possa colmare queste lacune e darmi un'idea migliore su come implementare l'autenticazione client e server.

Grazie!

Aggiornare

Ho trovato un grande libro che spiega davvero molto di questo. È intitolato "Una guida all'identità e al controllo degli accessi basate sui reclami". Fa parte della serie di modelli e pratiche.

Grazie a tutti per le tue risposte e mettemi sulla strada giusta.