需要ASP.NET + WCF +安全性的建議和幫助

Question

我想收到關於如何構建一個使用另一個asp.net中託管的WCF服務的asp.net Web應用程序的評論應用。這兩個應用程序將位於同一臺計算機上，但具有WCF服務的應用程序將無法從外部訪問。將有兩臺Web服務器共享負載平衡器後的負載。

這兩個應用程序的應用程序池將使用相同的本地用戶帳戶（網絡服務器不是域的一部分），所以我想使用Windows安全WsHttpBinding用於客戶端和內部wcf服務之間的通信。

前端asp.net應用程序通過自定義成員資格/角色提供程序使用表單身份驗證來驗證和授權用戶。用戶數據庫位於sql服務器數據庫中。

我需要以某種方式將用戶詳細信息（用戶名+角色）傳遞給wcf服務，以便在wcf中可以根據誰在前端登錄的角色進行驗證和授權。我讀了我需要使用「支持令牌」，但我還沒有想出如何使用這個。

我還讀了一些有關索賠和WIF，這似乎很有趣，但不知道我可以如何使用這些在我的情況。

有沒有人可以給我關於該架構的建議，也許還告訴我如何將用戶名傳遞給wcf服務，並告訴我如果可能使用基於聲明的授權？

Answer 1

首先，如果兩臺服務器位於企業局域網的企業防火牆之後，我強烈建議使用netTcpBinding而不是任何基於http的綁定。由於以二進制格式對消息進行編碼，NetTcpBinding速度更快。

至於用戶名/密碼：您的ASP.NET前端服務器可以爲調用WCF服務的用戶設置客戶端憑據 - 畢竟，ASP.NET服務器確實可以訪問ASP.NET成員數據庫，不是嗎？

或者如果你不能傳遞用戶的憑證，你可以傳遞一些頭文件到你的WCF服務中去描述用戶 - 實際上，你可能只需要用戶的唯一ID--因爲WCF服務可以把如果真的需要的話，再次從ASP.NET用戶數據庫獲取其他信息。

至於索賠 - 我不認爲他們在這裏會是個好主意 - 你並不需要處理大量不同的授權方案，而且你也沒有使用任何聯邦（例如允許用戶從不同的公司或域名使用你的服務） - 所以這些顯而易見的好處可能不會真正適用於你的情況。