Параметры аутентификации в сценарии, где приложение silverlight вызывает самодостаточный сервис wcf

Question

Наша система состоит из собственной службы WCF (не IIS) и веб-сайта Asp.net, на котором размещается приложение Silverlight. Приложение должно делать практически все, в данном случае веб-сайт - это просто «оболочка».

Нам сложно понять, как безопасно решить проблему аутентификации пользователей.

Насколько мне известно, Silverlight не может обрабатывать проверку подлинности Windows, не имеет каких-либо объектов учетных данных. Лучшее, что мы можем придумать, - это аутентифицировать пользователя, когда он запрашивает страницу, на которой размещено приложение. Затем мы можем передать имя пользователя приложению в его параметрах init.

Таким образом, у нас есть имя пользователя, которое может быть отправлено в службу wcf и может служить основой для обработки ролей. Проблема в том, что любой может позвонить в наш сервис без клиента Silverlight и передать имя пользователя. Кроме того, отправка незашифрованных конфиденциальных данных между службой WCF и приложением Silverlight - плохая идея. Итак, мой вопрос:

Как безопасно аутентифицировать клиента в этом сценарии?

Answer 1

Кто-нибудь пробовал это с Silverlight 3? У меня похожая ситуация, и я хочу реализовать аутентификацию с использованием заголовков сообщений (я определенно не хочу использовать файлы cookie ASP.Net), но приведенное здесь решение кажется устаревшим (неправильно компилируется с SL3). Я собираюсь попытаться найти и исправить ошибки, просто надеялся, что у кого-то может быть исправленный пример или, возможно, лучшее решение?

Мне кажется, что всякий раз, когда кто-то спрашивает об аутентификации с использованием SL и WCF, стандартным решением являются службы RIA и ASP.Net Forms Auth, встроенные в веб-сайт, я надеюсь, что ответ будет немного лучше:

Answer 2

Я нашел ответ в этой статье:

http://www.silverlightshow.net/items/Building-a-Silverlight-Line-Of-Business-Application-Part-3.aspx