Ваш вопрос можно разделить на три части.Два непосредственно связаны с безопасностью в WCF, а один выходит за рамки.
Аутентификация и авторизация - да, это возможно.WCF предлагает несколько настроек, позволяющих аутентифицировать клиента и предоставлять его роли.Вы также можете построить свой собственный.Наиболее распространенный сценарий для проверки подлинности клиентов, которые не находятся в вашем домене AD, - это использование учетных данных имени пользователя и пароля с настраиваемой проверкой службы или сертификатов клиентов.
Конфиденциальность и целостность - из-за вашейПринимая во внимание безопасность, вы должны также включать безопасную передачу учетных данных (и данных сообщений).Если вы не обеспечите безопасный транспорт, то кто-либо в сети сможет прослушать данные и украсть учетные данные (или данные).Злоумышленник также сможет перехватывать связь и изменять передаваемые данные.Для безопасной связи вам нужна безопасность транспорта (TLS, SSL / HTTPS) или защита сообщений - в сценарии Интернета, предоставляемом сертификатами.
Защита учетных данных на клиенте - это в основном вне вашего контроля.После развертывания клиентского приложения с учетными данными на клиентском компьютере, который не находится под вашим контролем, вы никогда не сможете обеспечить безопасность предоставленных учетных данных.Это зависит от ваших пользователей / клиентов.Если вы как-то включите учетные данные в свое приложение, то опытный конечный пользователь / злоумышленник, вероятно, всегда сможет их получить.Но это проблема любого безопасного решения - кто-то должен иметь доступ к учетным данным.