我想知道客户端应用程序(winforms / console /其他)中有关使用WIF进行授权和身份验证的WCF(以前称为genva)的最佳做法。
同样在服务级别,是否可以缓存令牌,以便每次WCF操作都不需要访问STS? (更多关于此的信息也是apreciated) 谢谢
答案 0 :(得分:1)
您需要每次都发送令牌,就像每次使用用户名和密码保护的Web服务需要发送用户名和密码一样。仅仅因为您使用SAML令牌不会改变这一点。
然而,您可以在客户端缓存令牌 - 每个令牌都有一个有效的来源并且与之相关联,因此,如果Web服务没有通过断言ID检查每个令牌的唯一性,那么您可以缓存客户。但是,编写良好的Web服务可能正在检查断言ID以阻止中继攻击。
答案 1 :(得分:-1)
使用SAML并不意味着您可以放弃传递令牌,只是它不是签名的一部分是隐式有效负载,并且可以在同一企业中的不同应用程序之间建立共同信任。因此,您实际上可以使用信任维护。就缓存而言,你可以为此尝试速度。