Мы создаем веб-сервис с WCF на .net 4.0. Служба будет использоваться в основном внешним интерфейсом ASP.net MVC, но также будет использоваться приложением .net Windows.
Базовая аутентификация имени пользователя и пароля не подходит, поскольку мы не хотим сохранять учетные данные пользователя, поэтому я подумал об аутентификации один раз и создании простого токена (или я должен называть его cookie?) С помощью RNGCryptoServiceProvider. GetBytes () и затем использовать его для аутентификации дальнейших запросов.
Я рассмотрел различные распространенные методы обеспечения безопасности с помощью WCF, и они в основном кажутся слишком сложными, особенно когда все, что мы хотим сделать, - это, по сути, передавать cookie для каждого вызова метода.
Какова была бы лучшая стратегия для передачи этого файла cookie от клиента WCF нашим службам WCF? Предпочтительный метод должен быть максимально тесно связан с архитектурой безопасности WCF.
До сих пор я опирался либо на пользовательские заголовки HTTP , либо на пользовательскую авторизацию , но я не уверен, какой из этих методов более подходящий, если таковой имеется.
Имейте в виду, что для веб-сайта ASP новый канал будет создаваться для каждого запроса, и он будет повторно использоваться в приложении Windows.