flash – WCF中基于令牌的身份验证
我正在创建一个包含ASP.NET页面和Flash小程序的网站.我希望将我的业务逻辑封装在WCF服务中,该服务将通过两个端点公开:一个可通过HTTP(S)访问Internet,供Flash客户端使用,另一个可在数据中心内访问,供应用程序服务器使用.如果这似乎不是一个好方法,那么请阻止我;否则,我会继续……
问题是如何验证来自Flash客户端的请求.由于我不想将用户的密码存储在浏览器cookie中,因此不希望每次请求都发送密码,并且不希望在初次登录后使用HTTPS,我打算使用令牌 – 基于认证系统.我也不希望用户在登录网站后必须登录Flash客户端,因此我计划在启动时使用Javascript将令牌传递给Flash客户端. 我知道WCF支持使用.NET Framework的内置安全框架(System.Security)来强制实施访问控制,我想利用这一点. 那么问题是:如何在Flash调用令牌时将令牌传递给WCF服务,以及如何在服务器上处理令牌? > WCF具有“已颁发令牌”身份验证模式,但看起来这应该用于具有安全令牌服务和SAML令牌的完整联合方案 – 这是我真正想要的复杂性.可以将此模式与我自己的“简单随机字符串”令牌一起使用吗?如果是这样,怎么样?请记住,这需要与Flash兼容. 解决方法
由于看起来原始问题已得到解答,我将保持这一简短,但一种方法确实是在http标头中传递身份验证令牌并在自定义ServiceAuthorizationManager中覆盖CheckAccess(OperationContext operationContext,ref Message message).
您之前已将服务配置为使用实现IAuthorizationPolicy的自定义策略. 剩下的就是实现简单的IIdentity和IPrincipal类来存储您的授权状态. 关于这个主题有很多好文章: http://msdn.microsoft.com/en-us/library/system.identitymodel.policy.iauthorizationpolicy.aspx http://msdn.microsoft.com/en-us/library/system.servicemodel.serviceauthorizationmanager.aspx 我想这可能仍然像是一种“自己动手”的解决方案,但是当你遵循既定的模式时,它至少会令人放心.它确实具有从您的服务方法中对您的授权代码进行黑名单的优势. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- ruby-on-rails – 使用rspec测试lib文件夹的正确方法?
- oracle AWR性能监控报告生成方法
- bzoj1017: [JSOI2008]魔兽地图DotR[树形DP+依赖型背包]
- swift – 如何使用UnsafeMutableRawPointer来填充数组?
- swift 快速奔跑的兔几 本节的内容是:SpriteKit第5讲 形状节
- 用正则识别是否是code
- 《Cocos2d-x中的引用计数(Reference Count)和自动释放池(
- actionscript-3 – 命令模式和AS3
- 解析XML文件的方式:DOM和SAX
- xml – 如何使用单个solr实例索引和搜索位于同一数据源中的