WCF/WIF STS记住我的功能
问题描述:
我有一个asp.net网站。 asp.net网站连接到一个wcf服务。 wcf服务正在使用具有自定义用户名/密码认证的sts(安全令牌服务)。WCF/WIF STS记住我的功能
该asp.net页面有一个简单的用户名和密码登录表单。现在我想实现一个“记住我”的功能。
目前我有两个解决方案:
保存asp.net服务器上输入的用户名和密码,并设置一个ID的cookie。
将STS令牌保存在asp.net服务器上,并在需要时进行更新。
什么是更安全的解决方案?你还有其他建议吗?
谢谢
答
更安全的解决方案是保存从WCF服务的令牌你的ASP.NET网站内,如果需要更新。缺点是,如果令牌过期,您的用户将需要使用WCF服务重新进行身份验证。即将到期的令牌比静态用户名和密码更安全,因为这会让WCF服务授权用户会话。
这可能是值得但如果你在一个数据库中存储他们加密令牌。