wcf webhttp身份验证

Question

我正在与WCF Webhttp服务合作。我已经创建了一堆服务，剩下的就是加入用户认证.

问题

• 按照rest架构风格，是否应该针对用户db对每个服务调用进行身份验证。如果是这样的话，我应该通过每次调用服务时提供凭据和密码来进行身份验证，并使用SSL确保其安全。基本上，每个webget/webinvoke函数都应该包含用户凭据作为参数，我对每个调用进行身份验证。是这样的吗？这似乎相当低效。
• 使用会话键似乎是错误的，但是对于如何在Webhttp中使用会话有任何提示吗？
• 我不使用ASP .net成员资格(很快将对其进行研究)，因为我正在使用Mysql，并创建了自己的注册/用户数据库。我应该看看这个吗？我是否可以使用wcf身份验证服务以及wcf webhttp服务？

任何关于在WCF webhttp服务中处理身份验证的文献都将非常有用。

非常感谢

Answer 1

您可以查看“RESTful .NET book”(亚马逊，谷歌图书)第8章。

您将只对来自用户的第一个调用进行身份验证，任何后续调用都将使用经过身份验证的用户的上下文。有几个选项可以使用SSL(TLS)，比如总是发送用户名/密码。

我不知道您究竟在哪里以及如何存储身份验证令牌(比如在会话中或类似类型中)。

您不需要使用ASP.NET成员资格提供程序，实际上您可能根本不使用任何成员资格提供程序，只需使用其他身份验证模型。通常，每个服务只有一个身份验证模型，就像您获得凭据一样，根据持久化存储检查它们，如果是有效的，则设置安全令牌，并且在接下来的所有调用中使用该令牌的时间有限。