Web services WCF安全模型
我是关于设计WCF服务和安全部分看起来最困难的一点。该服务将有两个端点:SOAP和REST,并将使用表单身份验证。在阅读了大量关于安全性的内容后,我决定创建单独的基于令牌的安全服务TBS,它将位于我的原始服务的后面,并且TBS和我的服务之间将存在ws-trust。当客户端调用我的服务进行身份验证时,身份验证请求将传递给TBSS,TBSS将对用户进行身份验证或不进行身份验证,并将返回一段时间后过期的令牌。在随后的客户端调用中,原始服务将获取令牌并将令牌传递给方法名为的TBSS,TBSS将授权用户 在我看来,这种模式的好处是什么: 用户不会在随后的每次呼叫中进行身份验证,这非常昂贵。 我的原始服务将保持无状态和 无缝可扩展。 安全将与实际服务完全分离。Web services WCF安全模型,web-services,wcf,security,authentication,authorization,Web Services,Wcf,Security,Authentication,Authorization,我是关于设计WCF服务和安全部分看起来最困难的一点。该服务将有两个端点:SOAP和REST,并将使用表单身份验证。在阅读了大量关于安全性的内容后,我决定创建单独的基于令牌的安全服务TBS,它将位于我的原始服务的后面,并且TBS和我的服务之间将存在ws-trust。当客户端调用我的服务进行身份验证时,身份验证请求将传递给TBSS,TBSS将对用户进行身份验证或不进行身份验证,并将返回一段时间后过期的令牌。在随后的客户端调用中,原始服务将获取令牌并将令牌传递给方法名为的TBSS,TBSS将授权用户
虽然对我来说一切看起来都很好,但我仍然感觉不是很自信,因为我以前没有实现过这个模型,所以我不知道我会遇到什么样的问题,甚至我能完成这个吗?如果您能分享您的意见/经验/专业知识,我将不胜感激 对我来说,这听起来是一个经过深思熟虑的计划。我们做了类似的事情,但使用了一个实际的LoginsGUID函数,该函数返回一个时间敏感的SessionID,用于客户端设备andriod、iPhone和膝上型电脑进行子Qent访问时的身份验证。虽然每个请求都必须重新验证,但我们的系统将每次同步的命中率限制在3-6次左右,因此成本不高。当您进行性能测试时,您会发现WCF服务几乎不可能有压力——它的速度太快了。取而代之的是,你的数据库将成为你的瓶颈。感谢Brain的大力投入,当我考虑性能时,我会记住这一点。