使用WCF服务进行授权和令牌验证
我正在研究一个内部测试框架,其中一个要求是能够分配一个可以在测试中使用的资源(例如,分配一台将作为测试一部分使用的物理PC)。此资源上运行着一个WCF服务,测试使用代理与之对话 作为框架的一部分,我想添加某种级别的授权,在分配资源后,检索令牌并将其提供给在资源上运行的服务,并且必须由资源的服务进行验证 我们为此提供了两个主要选项: 1.*联邦安全*-与资源对话的代理从安全令牌服务获取令牌,并将其呈现给资源的服务,该服务对其进行验证。这似乎是最干净的解决方案,但主要问题是在设备释放后撤销令牌。一种选择是让令牌超时几分钟,最坏的情况是资源在几分钟内未被使用,但这并不理想 2.*在每次调用中使用令牌服务进行验证*-在此解决方案中,资源服务使用令牌服务验证令牌(而不是像解决方案1中那样仅使用公钥验证令牌本身)。这解决了撤销的问题,但是对于每个调用来说,用另一个服务来验证它似乎需要大量的开销 你们都怎么想?哪种选择更好?是否有选项3(4、5等)? 谢谢使用WCF服务进行授权和令牌验证,wcf,security,authentication,authorization,wcf-security,Wcf,Security,Authentication,Authorization,Wcf Security,我正在研究一个内部测试框架,其中一个要求是能够分配一个可以在测试中使用的资源(例如,分配一台将作为测试一部分使用的物理PC)。此资源上运行着一个WCF服务,测试使用代理与之对话 作为框架的一部分,我想添加某种级别的授权,在分配资源后,检索令牌并将其提供给在资源上运行的服务,并且必须由资源的服务进行验证 我们为此提供了两个主要选项: 1.*联邦安全*-与资源对话的代理从安全令牌服务获取令牌,并将其呈现给资源的服务,该服务对其进行验证。这似乎是最干净的解决方案,但主要问题是在设备释放后撤销令牌。一种