Стратегии аутентификации WCF

Question

Передо мной стояла задача разработать стратегию аутентификации / авторизации для довольно большого API-интерфейса WCF.Моя задача - реализовать защиту этого API от клиентов, которые могут быть веб-сайтом, мобильным приложением или пользователем внутреннего / сетевого администратора (что в значительной степени является целью любого надежного API).

Я посмотрелв Windows Identity Foundation и федеративной безопасности, но он опирается на WS- *, и мои клиенты могут использовать протокол REST или протокол не-SOAP.Итак, мой вопрос:

Существует ли стратегия безопасности (для каждого вызова метода, предпочтительно с использованием атрибутов) для WCF, которая не зависит от SOAP или не включает в себя множество файлов конфигурации?

Я понимаю, что, вероятно, нет универсального решения.Я действительно ищу идеи или предложения.Это оказывается действительно сложным испытанием.

Answer 1

Basic Authentication и HTTPS - это простое и «достаточно безопасное» решение для большинства требований API аутентификация .

Когда вы говорите «на вызов метода», у меня складывается впечатление, что речь идет о авторизации .Для этого вам, вероятно, придется самому что-то свернуть.Предстоящая платформа Microsoft Web Api имеет несколько хороших точек расширения, которые значительно упростят реализацию этого типа функций.Прошло не так много времени, прежде чем кто-то реализует модуль многократного использования для этой платформы, который вы можете просто подключить.