我一直在爲一個相當大的WCF API提出身份驗證/授權策略的任務方面受到挑戰。我的任務是從可能是網站,移動應用程序或內部/網絡管理員用戶(這幾乎是任何可靠API的目標)的客戶端實施此API的安全性。WCF身份驗證策略
我已經研究過Windows Identity Foundation和聯合安全性,但它依賴於WS- *,並且我的客戶端可能正在使用REST或非SOAP協議。所以,我的問題:
是否有一個安全策略(每個方法調用,最好使用屬性)的WCF不依賴於SOAP或涉及大量的配置文件?
我意識到可能沒有全面解決方案。我真的在尋找想法或建議。這原來是一個非常棘手的挑戰。
基本身份驗證和HTTPS是大多數API 身份驗證要求的簡單且「足夠安全」的解決方案。
當你說「每個方法調用」,我得到的印象是在談論授權。爲此,你可能不得不自己推出一些東西。即將到來的Microsoft Web Api framework有一些很好的擴展點,這將使這種功能更容易實現。在某人爲此框架實施可重複使用的模塊之前,應該不會太長,您可以插入該模塊。
Dominick Bayer在保護REST方面寫了幾篇博文(http://www.leastprivilege.com/) -API服務與Windows身份基礎:例如Adding a REST Endpoint to a WIF Token Service和Thinktecture.IdentityModel: WIF Support for WCF REST Services and OData。
還有一個來自TechDays瑞典的視頻:http://www.microsoft.com/showcase/sv/se/details/ffc61019-9756-4175-adf4-7bdbc6dee400(它在標題中有「Windows Azure」,但在天藍色之外的作品相同)。
不錯。我讀過他的一些東西,他擅長提供代碼。我會檢查一下。謝謝。 – 2011-07-26 04:09:58
感謝您的建議。我會密切注意這一點。聽起來很有希望。 – 2011-04-16 04:02:11