Согласно моему исследованию, все вызовы в классы обслуживания RIA выполняются с помощью пользовательского класса IOperationInvoker (принудительного применения пользовательского класса IOperationBehavior). Этот вызывающий оператор вызывает DomainService для выполнения операции.
Перед выполнением вызова метода проверяется любой / все атрибуты AuthorizationAttribute, отмеченные в рассматриваемой операции. Каждому атрибуту AuthorizationAttribute (два из которых являются RequAuthenticationAttribute и requireRoleAttribute) предоставляется возможность принять или отклонить вызов с помощью абстрактного метода IsAuthorized.
Если какой-либо из этих атрибутов возвращает что-то кроме «AuthorizationResult.Allowed», генерируется исключение UnauthorizedAccessException с сообщением ErrorMessage из возвращенного AuthorizationResult.