具有多個客戶端的WCF服務的最佳身份驗證/安全策略

Question

我被要求調查WCF安全性和身份驗證，以便構建適合我們業務應用程序的一組Web服務。

當前，我們的應用程序是使用ASP.NET編寫的，其中包含許多用C＃編寫的后端代碼以及一些依賴於表單身份驗證的WCF服務。 不幸的是，隨着時間的流逝，代碼庫變得非常特別，因此沒有真正的邏輯分離/分層。

在總體方案中，我們需要一個結構化的應用程序，它具有數據訪問層，業務邏輯層，數據傳輸層（WCF）和各種表示層（其中ASP.NET網站將是其中之一）。

有人告訴我，將來，我們可能還會支持使用Windows窗體，WPF，控制台應用程序編寫的表示層，甚至支持一些用Java編寫的表示層（適用於Linux和Mac用戶）。

我對WCF比較陌生。 我了解它的基本原理，但是當涉及到身份驗證/安全性時，我絕對不是專家！

我知道WCF中有很多不同的身份驗證/安全性策略。 考慮到各種展示平台，我正在尋找最合適的產品。 因此，考慮到使用ASP.NET，Windows Forms，WPF，Java作為各種表示層的情況，WCF服務中用於身份驗證和安全性的最佳策略是什么？

Answer 1

您的最佳策略將取決於您的安全要求。 換句話說，沒有適用於所有解決方案的最佳策略。

我建議您看一下《 WCF安全指南》 。 它可以幫助您快速掌握WCF中的安全性基礎。 它還提供了有關常見Intranet和Internet場景的部分，並為每個場景提供了說明性指導。 根據您在此處提供的少量信息，我認為您會發現其中一種符合您的需求的方案。 該指南很舊，但仍然非常相關。

稍后，您可能要看看轉向基於聲明的安全模型的好處。 這是一個巨大的主題，因此，我只為您指出本指南，以備將來參考。