使用WCF的身份验证服务

Question

我有一个自定义MembershipProvider，如下所示。 它根据Active Directory验证用户名和密码。 我想把它作为“身份验证服务”。 即使客户端使用表单身份验证或Windows身份验证，这也应该有效。

有一个WCF“人力资源服务”，它提供员工信息。 “HR UI”网站正在使用“HR Service”WCF服务。 现在，我们需要确保在访问“HR服务”操作之前，使用“身份验证服务”对使用“HR服务”的任何客户端进行身份验证。 如果客户端应用程序经过一次身份验证，则下次不应再次验证（直到应用程序关闭）。 当打开客户端应用程序的新实例时，需要从头开始进行身份验证。

我们如何实现它？ 我们是否有任何代码样本用于端到端流程演示？

注意：我应该能够使用自托管服务进行测试。

注意：客户端可以是任何平台（例如Java）。

namespace LijosCustomValidation
{
public sealed class LijoMembershipProvider : MembershipProvider
{

    public override bool ValidateUser(string username, string password)
    {
        bool isValid = true;
 //my logic to validate the user name and password
        return isValid;
    }

   //other implementations of Abstract Methods from MembershipProvider
  }

Answer 1

如果身份验证成功，您的身份验证服务应返回令牌。 然后，该令牌应该被呈现给HR服务。

关于人力资源服务目前做了什么，您有几种选择。 它可以知道验证令牌的秘密，也可以调用auth服务来验证令牌。

如果你知道秘密，那么令牌应该是一些可以验证的值，因此它可以是对称加密的用户ID。 理想情况下，它应该有一个时间组件来防止重放攻击。

我建议一些类似的东西

<hash value>|<token issue time>|<user id>

哈希值应该是第一个管道之后的所有内容的哈希值（sha1，md5等）。 然后，您可以对结果进行base64编码并传递它。 然后验证令牌可以检查发布日期是否在某个时间范围内。

您还可以选择将令牌存储在客户端中的cookie中，并将cookie作为cookie传递给服务，或者将其作为服务的参数。 可能还有其他选项，具体取决于您的客户端体系结构以及您希望如何构建服务。