Самостоятельно размещенный сайт на основе HttpListener - как обрабатывать аутентификацию?

Question

Если вы создаете самодостаточную веб-страницу вокруг HttpListener, как вы можете безопасно обрабатывать аутентификацию? Я не хочу использовать базовую аутентификацию, поскольку она передает учетные данные в виде открытого текста. Я знаю, что дайджест это еще один вариант,

        listener = new HttpListener();
        listener.Prefixes.Add(url);
        listener.AuthenticationSchemes = AuthenticationSchemes.Digest; 
        listener.Start();

Достаточно ли это безопасно и каковы стандартные / лучшие практики для фактического получения имени пользователя / пароля и их аутентификации?

В этой ситуации по умолчанию отсутствует web.config или хостинговая среда.

Answer 1

Использование аутентификации с HttpListener означает, что Windows сделает вашу аутентификацию за вас, используя встроенную систему аутентификации (т.е. ActiveDirectory). Это означает, что для дайджест-аутентификации вам нужно создать учетные записи домена для ваших пользователей. Это то, что вы хотели? Если вы хотите выполнить свою собственную аутентификацию, это более сложный вопрос. Я не буду вдаваться в подробности, если вы не скажете, что это то, что вы хотите сделать.

Answer 2

Я хотел бы рассмотреть возможность реализации поддержки безопасности на основе утверждений.Вам придется работать с токенами безопасности, но фактическая аутентификация пользователя может быть "передана" внешним поставщикам удостоверений.

Возможно, вы сможете использовать Windows Identity Foundation (WIF) для обработки большей части работы.