最簡單的方法來使用客戶端生成的令牌WCF認證

Question

（我試圖尋找，但找不到任何真正有用的鏈接。）

我們正在實施一系列WCF服務。我會像要做的這些服務是有客戶端（這將是值得信賴的應用程序服務器）能夠將某種類型的令牌傳遞到Web服務進行身份驗證。我不要希望被要求傳遞用戶名/密碼的初始或後續請求（因爲在某些情況下，呼叫應用程序服務器可能沒有密碼）。 Windows和Kerberos在我們的特定情況下不可用。

我曾經想過只是創建一個簡單的自定義UserNameSecurityTokenAuthenticator類並對其進行修改，以便如果密碼爲空，它會將userName作爲字符串編碼的標記值（顯然會檢查標記本身以驗證它在此時是否有效），但是如果密碼不爲空，則將用戶名/密碼轉發給MembershipProvider進行檢查。基本上我想重載用戶名/密碼認證以提供令牌傳遞。

這可能嗎？我可以簡單地插入一個像這樣的令牌認證器，還是有其他簡單的方法來「截獲」這樣的請求（並從解密的令牌更新實際的用戶名值）？

還有其他一些令人難以置信的簡單方法來允許客戶端傳遞一個自定義令牌並讓服務器接受它，我只是失蹤？

Answer 1

如果這是一個相當受控的環境中並沒有太多的客戶參與進來，那麼我會嘗試建立沿B2B場景使用固定兩端證書傳輸鏈路線的東西。

證書沒有綁定到Windows或AD域，並且設置它們是一次性工作。

瞭解更多關於WCF安全方案：

• MSDN: Transport Security with Certificate Authentication
• Fundamentals of WCF Security: Business Partner Applications 。 WCF Security How-To's