我面临的挑战是为一个非常大的WCF API提出身份验证/授权策略。我的任务是从可能是网站,移动应用程序或内部/网络管理员用户的客户端实现此API的安全性(这几乎是任何可靠API的目标)。
我已经研究过Windows Identity Foundation和联合安全性,但它依赖于WS- *,而我的客户端可能正在使用REST或非SOAP协议。所以,我的问题是:
WCF是否存在不依赖于SOAP或涉及大量配置文件的安全策略(每个方法调用,最好使用属性)?
我意识到可能没有全面的解决方案。我真的在寻找想法或建议。事实证明这是一个非常棘手的挑战。
答案 0 :(得分:1)
基本身份验证和HTTPS是一种简单且“足够安全”的解决方案。
当您说“按方法调用”时,我会得到的印象是授权。为此,你可能不得不自己滚动一些东西。即将到来的Microsoft Web Api framework有一些很好的扩展点,可以使这种类型的功能更容易实现。不久之后,有人为这个框架实现了可以插入的可重用模块。