wcf和windows身份验证

我喜欢将wcf（windows communication foundation）与windows身份验证一起使用

为此，我需要Active directory吗？ 服务器如何知道客户端的身份

---

如果有人能找到正在使用wcf服务的客户端的密码，他能在不同的计算机上创建相同的用户名并使用密码访问wcf服务吗？

是的，如果要使用Windows身份验证，则需要Active Directory作为验证用户的源

---

发生这种情况的方式是通过用户“令牌”——当您的客户端使用其Windows凭据登录到其PC时，登录过程将与AD一起检查用户是否合法并发出“令牌”。然后在调用WCF服务时使用此令牌，以确定调用该服务的是谁。

用户是否以某种方式与硬件连接，或者可以从多台计算机使用此令牌？我的意思是，如果它曾经被添加到active directory中，并且具有active directory的管理权限，那么它是否可以从其他计算机上重用（只是为了将用户名添加到计算机并填充active directory？）。超市支付软件示例。我不能相信卖家。他们是否可以看到windows用户名并找到密码并重新使用它们进行来自另一台计算机的恶意攻击？该用户已通过Active Directory的身份验证-他肯定没有绑定到特定的PC。如果您需要类似的内容，您可以将机器名作为WCF标头发送，并在服务中对照列表进行检查“允许”的机器名之类的。但即使是这样，如果他们真的想。。。。