我正在编写WCF服务,其目的是使用共享密钥对客户端进行身份验证。每个配置的客户端都有自己唯一的共享密钥,只有客户端和服务知道。此过程的一部分意味着auth服务需要能够在请求进行身份验证时为每个客户端查找已配置的共享密钥。该服务正在使用webHttpBinding,因此如果可能的话,我想为此使用HTTP标头。
使用此服务的客户端是否有比“Referrer”标头更好的标头来声明其标识?
答案 0 :(得分:3)
Referer可能不是一个好选择,因为我猜客户端会提前知道服务器的URI(硬编码或来自配置),以及标准says:
“如果从没有自己的URI的源获取Request-URI,则不得发送Referer字段”
我认为Authorization使用自定义方案(另请参阅RFC 2617)或非标准标题(如X-Client-Id)也是合理的选择。