.net 如何使用WCF/JSON对用户进行身份验证和跟踪？

我正在WCF中实现一个服务，需要通过用户名/密码进行自定义用户身份验证。此服务配置为WebScript（JSON）服务

我想知道是否有可能获得一个安全上下文，这样我就不必在每次调用中都包含散列或用户/传递。我知道我可以为此使用证书，但我需要有身份验证的uses/pass机制

我将使用AJAX（jQuery）讨论这个服务，应该可以使用基本的HTTP身份验证

该服务稍后还将公开其他端点，例如通过TCP，这确实支持“正确”身份验证

---

在WCF中有很多方法可以保证安全性，我觉得有点迷茫，而且我觉得读得越多，我知道的就越少

考虑到您将为此使用（假定为HTTP传输），您必须做的第一件事是确保此端点的方案是HTTPS。如果不是这样的话，那么你会有很多麻烦，因为你会受到中间人的攻击

本博客介绍如何创建自定义用户名/密码验证程序：

如果您使用的是HTTPS，那么您应该能够将安全模式设置为transport而不是message，并且应该可以正常工作

---

也就是说，对于这个服务，如果您不想每次都传递用户和密码，那么您将需要在后端使用基于会话的服务，这将需要使用cookie（但这将在绑定中为您处理）.

除了使用HTTPS，我还建议您看看如何使用WCF构建REST服务。有一个关于使用HMAC的部分有一些好的想法。根据您的情况，您可能还需要考虑将Authe卸载到另一个提供者（OpenID实现器），并且只需维护您的SANS密码上的配置文件。