我正在创建一些我希望使用自定义(即NOT WS-Secure等)方法保护的Web服务。目前我的计划是有一个方法,它采用活动目录用户名和&密码(当然是通过HTTPS)来验证用户身份。然后,此方法将获取该用户的帐户SID,并使用安全但可逆的方法对其进行加密,并将其作为安全令牌传回。
此后,调用者将加密的令牌作为参数传递给每个Web方法,以确保调用者的身份验证。然后可以解密该令牌并将其转回到目录条目中(并因此确认其真实性)相当简单。这有额外的好处,允许方法绝对识别经过身份验证的调用者。
但是,使用帐户中的SID(通常只是内部的),让我有点担心。这样安全吗?
编辑:正如我在评论中所述,我已经意识到令牌需要“会话化” - 即它需要到期以减少令牌重用的可能性。这可能是通过将客户端会话保持为令牌的一部分来处理的。答案 0 :(得分:9)