我已经实现了一个使用TransportWithMessageCredential绑定和自定义UserNamePasswordValidator的WCF服务。
我有一个Silverlight 3客户端连接到此服务。如果我设置了有效的凭据,它可以完美地工作,但是,在用户名验证器中,如果用户名和密码不匹配,我会抛出SecurityTokenException。
现在我已经实现了一个虚拟服务调用来验证凭据,是否有一种“更好”的方式来检查凭据。接受用户名和密码并返回true / false的服务方法感觉不安全。
答案 0 :(得分:0)
我认为你是以错误的方式处理安全问题。有内置的方法来处理这个问题。查找“会员提供商”。例如: