WCF/WIF STS記住我的功能

Question

我有一個asp.net網站。 asp.net網站連接到一個wcf服務。 wcf服務正在使用具有自定義用戶名/密碼認證的sts（安全令牌服務）。

該asp.net頁面有一個簡單的用戶名和密碼登錄表單。現在我想實現一個「記住我」的功能。

目前我有兩個解決方案：

• 保存asp.net服務器上輸入的用戶名和密碼，並設置一個ID的cookie。

• 將STS令牌保存在asp.net服務器上，並在需要時進行更新。

什麼是更安全的解決方案？你還有其他建議嗎？

謝謝

Answer 1

更安全的解決方案是保存從WCF服務的令牌你的ASP.NET網站內，如果需要更新。缺點是，如果令牌過期，您的用戶將需要使用WCF服務重新進行身份驗證。即將到期的令牌比靜態用戶名和密碼更安全，因爲這會讓WCF服務授權用戶會話。

這可能是值得但如果你在一個數據庫中存儲他們加密令牌。