WCF 4.0 REST 用户名密码认证

Question

我一直在努力使用 ASP.Net 成员资格/角色提供程序在 WCF 4.0 RESTfull 服务中进行用户名/密码身份验证/授权。

花了两天时间试图找到大多数人都同意的东西，我放弃了。很多困惑似乎是因为没有专门针对 WCF 4.0 的信息。

有人能善待吗

给出 WCF 4.0 + REST 是否是一个好主意的权威观点？

概述执行此操作的普遍接受的步骤(或链接)。

提供完成此操作所需的相当完整的代码示例。

编辑:
任何可以使用 VS 2010 中的 WCF 服务应用程序模板为 RESTfull WCF 4.0 服务提供用户名/密码身份验证和授权的完整示例(甚至只是指向完整示例的链接)的人的赏金。

Answer 1

我认为您的问题的答案取决于您的服务的目的以及将要使用它的应用程序的类型。

如果您有一个现有的 ASP .Net 应用程序，并且希望将其部分功能公开为 RESTfull 服务，您将能够使用 AJAX 使用客户端，那么 WCF 可能不是最佳选择。在这种特殊情况下，您在 Web 应用程序中已经有一个身份验证用户，并且您希望在 AJAX 调用期间传播该身份验证。实现这一点实际上非常简单。

ASP .Net Forms 身份验证基于成功登录后生成并传递给浏览器的身份验证 cookie。浏览器对与您的应用程序位于同一域中的任何 URL 的每次调用也将包含身份验证 cookie。在 ASP .Net MVC 中，您可以简单地将服务方法实现为需要授权的 Controller 操作，一切都会在幕后为您发生。

在经典的 ASP .Net 中，您可以使用 PageMethods 来实现您的服务方法，并且会再次为您发送和验证 cookie(PageMethods here 和 here 的示例)。

另一方面，如果您的服务将在浏览器之外使用(例如从桌面或移动应用程序)，那么 WCF 可能确实是实现该服务的正确工具。但是，ASP .Net 表单例份验证并不是实现安全性的最佳选择。 REST 服务的主要目的是简单，以便可以在每个平台上轻松实现客户端，并且 ASP .Net 表单例份验证的基于 cookie 的机制并不是最直接的。

OAuth 是一种专门为 Web 服务上下文中的用户身份验证而构建的协议(protocol)。它的第二个版本仍在草稿中(查找规范 here)，但很可能这是您想要使用的版本，因为它比 OAuth 1.0 简单得多。 Facebook 已经通过 OAuth 2.0 实现了其 API 身份验证(详情 here )，您可能想查看他们的实现以获取灵感。

除了用户身份验证之外，OAuth 还确保使用应用程序(服务客户端)身份验证，并确保用户永远不会直接在客户端应用程序中输入其凭据。如果这比您实际需要的太多，您可以创建一个受 OAuth 2.0 启发的自定义实现。

首先，您需要通过 HTTPS 公开您的服务，以便对服务和客户端之间的所有通信进行加密。其次，您需要在服务中创建一个登录方法，如下所示:

string Login(string user, string password);

成功登录后，上述方法将返回一个身份验证 token 。然后将在所有其他方法上使用和验证身份验证 token 。例如:

Employee[] GetAllEmployees(string authToken)
{
  // verify token here

  // return data if user authenticated by token
}

在上述架构中，authToken 与 ASP .Net 表单例份验证中的身份验证 cookie 具有相同的作用，但它是作为简单参数传递的。您将负责实现生成 token 的算法(它们必须足够长且唯一，使用类似 here 的算法)并存储和验证它们。