Какую аутентификацию выбрать для кроссплатформенной службы WCF?
-
02-07-2019 - |
Вопрос
Какой тип аутентификации вы бы предложили для службы:
- реализовано как WCF и выставлен через Varios Enpoints (включая XML-RPC)
- должен легко использоваться различными кроссплатформенными клиентами
Почему?
Варианты, о которых я знаю:
- Аутентификация на основе форм для WCF, размещенного в IIS (проста в реализации, но имеет ужасную кроссплатформенную поддержку, плюс это не REST)
- Отправка имени пользователя/пароля в виде открытого текста при каждом вызове (просто использовать на любой платформе, но совершенно небезопасно)
- Использование аутентификации на основе билетов, когда имя пользователя и пароль используются для создания билета, который действителен в течение некоторого времени и передается с каждым запросом (может легко использоваться любым клиентом, но модель API привязана к этому типу безопасности)
Спасибо за ваше время!
Решение 2
В итоге я выбрал самый простой подход:Веб-сервисы реализованы как простые сервисы SOAP без сохранения состояния, в которых имя пользователя и пароль передаются с каждым запросом.
Другие советы
Поскольку вы упомянули REST, я предполагаю, что через HTTP вы можете посмотреть аутентификацию дайджеста HTTP.
Однако имейте в виду, что XML-RPC нет RESTful.Если вы идете по пути WS/RPC, возможно, вам стоит взглянуть на WS-Security.
Не связан с StackOverflow