WCF身份验证策略
我一直在为一个相当大的WCF API提出身份验证/授权策略的任务方面受到挑战。我的任务是从可能是网站,移动应用程序或内部/网络管理员用户(这几乎是任何可靠API的目标)的客户端实施此API的安全性。WCF身份验证策略
我已经研究过Windows Identity Foundation和联合安全性,但它依赖于WS- *,并且我的客户端可能正在使用REST或非SOAP协议。所以,我的问题:
是否有一个安全策略(每个方法调用,最好使用属性)的WCF不依赖于SOAP或涉及大量的配置文件?
我意识到可能没有全面解决方案。我真的在寻找想法或建议。这原来是一个非常棘手的挑战。
基本身份验证和HTTPS是大多数API 身份验证要求的简单且“足够安全”的解决方案。
当你说“每个方法调用”,我得到的印象是在谈论授权。为此,你可能不得不自己推出一些东西。即将到来的Microsoft Web Api framework有一些很好的扩展点,这将使这种功能更容易实现。在某人为此框架实施可重复使用的模块之前,应该不会太长,您可以插入该模块。
Dominick Bayer在保护REST方面写了几篇博文(http://www.leastprivilege.com/) -API服务与Windows身份基础:例如Adding a REST Endpoint to a WIF Token Service和Thinktecture.IdentityModel: WIF Support for WCF REST Services and OData。
还有一个来自TechDays瑞典的视频:http://www.microsoft.com/showcase/sv/se/details/ffc61019-9756-4175-adf4-7bdbc6dee400(它在标题中有“Windows Azure”,但在天蓝色之外的作品相同)。
不错。我读过他的一些东西,他擅长提供代码。我会检查一下。谢谢。 – 2011-07-26 04:09:58
感谢您的建议。我会密切注意这一点。听起来很有希望。 – 2011-04-16 04:02:11