Сверчки из аудитории ........
Стратегия, с которой я решил пойти, заключается в следующем:
После входа в систему интерфейсный веб-сайт создаетОбычный бланк проверки подлинности.Он также вызывает функцию входа в бэкэнд-веб-сервис, которая также реализует аутентификацию форм.Файл cookie ASPXAUTH, возвращаемый серверной веб-службой, будет храниться в свойстве UserData файла cookie проверки подлинности форм внешнего интерфейса.
Итак, теперь, когда веб-интерфейсу необходимо вызвать метод внутреннего интерфейса, он сохраняет файл проверки подлинности внутренних форм.в UserData внешнего интерфейса формы билета аутентификации.Он может присоединить это к HTTP-вызову WCF для аутентификации.
Самая большая опасность, которую я вижу, заключается в том, что тайм-ауты сеанса могут быть смещены относительно друг друга, особенно если пользователь просматривает некоторые страницы во внешнем интерфейсе, которые нене требовать внутренних вызовов.В этом случае скользящий таймер будет сброшен на внешнем интерфейсе, но не на внутреннем.Лучшее, что я могу придумать, - это чтобы все запросы к внешнему интерфейсу вызывали метод Ping () на бэкэнде, если они активно вошли в систему.
Кто-нибудь видит любые дыры в этой стратегии