我正在使用NTLM安全性构建一个简单的WCF服务,可能通过HTTPS公开。由于并非所有用户都能够直接使用该服务,我们正在为该服务编写一个简单的Web前端。用户将使用HTML授权到Web前端。
我们想要的是一种将网站用户一直委托给WCF服务的方法。我理解Kerberos委托可以做到这一点,但我们无法使用。
我想要做的是将Web前端帐户设为特别受信任的帐户,这样,如果请求到达经过身份验证为“DOMAIN \ WebApp”的WCF服务,我们会读取包含真实身份的WCF邮件头,然后将主体切换到该主体并继续正常。
有没有“简单”的方法来实现这一目标?我应该完全放弃这个想法,而是让用户“登录”到WCF应用程序,然后完成自定义身份验证吗?
WCF的可扩展性和安全性选项看起来如此巨大,我想了解一下开始向下的路径。
编辑:当然,我只希望WindowsIdentity进行组成员资格检查。我不需要完整的模拟令牌,只需要一个身份令牌。