flash – WCF中基于令牌的身份验证

问题是如何验证来自Flash客户端的请求.由于我不想将用户的密码存储在浏览器cookie中,因此不希望每次请求都发送密码,并且不希望在初次登录后使用HTTPS,我打算使用令牌 – 基于认证系统.我也不希望用户在登录网站后必须登录Flash客户端,因此我计划在启动时使用Javascript将令牌传递给Flash客户端.

我知道WCF支持使用.NET Framework的内置安全框架(System.Security)来强制实施访问控制,我想利用这一点.

那么问题是：如何在Flash调用令牌时将令牌传递给WCF服务,以及如何在服务器上处理令牌？

> WCF具有“已颁发令牌”身份验证模式,但看起来这应该用于具有安全令牌服务和SAML令牌的完整联合方案 – 这是我真正想要的复杂性.可以将此模式与我自己的“简单随机字符串”令牌一起使用吗？如果是这样,怎么样？请记住,这需要与Flash兼容.
>我可能会在标头中传递令牌(SOAP标头或HTTP标头).在这种情况下,一旦我确定了哪个用户正在发出请求,我该如何通知框架以便System.Security检查能够正常工作？
>我应该考虑采用不同的方法吗？任何避免在每个请求中发送密码的东西,让我使用System.Security,并且可以使用Flash.