在Web服务中使用令牌

Question

我正在构建一个需要使用Web服务的应用程序;我想实现基于令牌的身份验证，如下所示：

• 用户名/密码发送到WS
• 如果验证，则服务器将唯一令牌发送回客户端
• 客户端将以下所有调用中的令牌发送给WS，并在此次调用后将令牌过期时间更新为x分钟。

如果我使用令牌在每个WS调用中发送用户名（或用户ID）我是否已经完成了可接受的WS架构，或者我应该做些什么来提高我的应用程序的安全性？

Answer 1

您描述的身份验证机制听起来很像WS-Trust和WS-SecureConversation安全标准所指定的机制。
我建议您依靠支持WS- *安全标准的库/框架，而不是从头开始重新实现身份验证方案。